Fermer le menu
 

Astuce : vérifier la date de mise à jour d'XProtect dans Mac OS X

Florian Innocente | | 15:27 |  20

Le site anglais de Macworld donne une astuce pour forcer Snow Leopard à vérifier que sa liste de définitions de malwares est bien à jour et le vérifier soi-même (lire aussi Mac OS X : une nouvelle option anti-malware). La manipulation consiste d'abord à ouvrir le panneau Sécurité de Préférences Système, puis dans l'onglet Général, à décocher puis recocher l'option "Mettre à jour automatiquement la liste de téléchargements sûrs".

http://static.macg.co/img/2011/4/panneauprefs-20110603-152536.jpg

Seulement, ce panneau n'indique pas la date de dernière actualisation de ces renseignements (l'aide associée à ce panneau ne mentionne carrément pas cette nouvelle option). Il faut pour cela exécuter une commande dans le Terminal (dossier Applications puis Utilitaires).

Copiez-collez et validez cette ligne de commande :

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

Dans notre cas, avant de toucher à l'option, la date retournée était celle du 26 mai, après la manipulation dans les préférences, le Terminal indique que la dernière mise à jour par Apple du fichier de malwares date d'aujourd'hui.

http://static.macg.co/img/2011/4/terminalmacdefender-20110603-152345.jpg
Inutile de vérifier tous les jours ce qui se passe dans ce fichier, rappelons que le malware en question - MAC Defender et ses variantes - n'est pas un virus, mais une application se faisant passer pour ce qu'elle n'est pas. Mais en attendant un panneau de préférence peut-être plus informatif, c'est toujours une astuce bonne à prendre.

Catégorie : 

20 Commentaires

avatar John Paris 03/06/2011 - 15:42

Excellent. Merci !

avatar nayals 03/06/2011 - 15:42

Oui, et aussi est apparu ce matin "MacDefender.D" (on était arrêté au C depuis hier)

avatar r e m y 03/06/2011 - 15:51

POur le début de l'astuce (décocher puis recocher), inutile d'aller sur des sites exotiques pour l'apprendre... un tour sur les forums de MacG suffit

http://forums.macg.co/mac-os-x/virus-mac-osx-rsplug-a9-et-comment-faire-473452.html#post8727382

avatar cellobrutos 03/06/2011 - 15:56

Je n'ai pas cette option dans mon Snow Leopard à jour (y compris la dernière MàJ de sécurité justement). Hmmm.

edit: autant pour moi. Il fallait juste que je redémarre les pref système...

avatar Florian Innocente 03/06/2011 - 16:17

@ r e m y : merci, on ne regarde jamais assez dans ses propres tiroirs.

avatar @finderbest 03/06/2011 - 16:30

Merci pour l'astuce les gars ;) peut toujours servir

avatar jabial 03/06/2011 - 16:32

Plutôt que de faire more, autant faire head, ça n'affiche que le début :

head /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

ou encore mieux :

grep GMT /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

n'extrait que la date.

avatar jabial 03/06/2011 - 16:35

Allez encore mieux, puisque la date est le seul élément string du fichier :

sed -n -e 's/.*<string>\\(.*\\)<\\/string>.*/\\1/p' /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

avatar jabial 03/06/2011 - 16:41

Voilà maintenant ça marche.

Pour entrer des antislashs dans ce site web il faut les entrer en double (\\\\ au lieu de \\).
Et pour les symboles < et > il faut faite < et >

Et pour les antislashs ça saute à chaque édition...

avatar amigafred91 03/06/2011 - 16:49

Genial vos commandes.

OSX est vraiment un system assez puissant en ligne de commande.

Dommage que je n'y comprenne pas grand chose.

@jabal : ta commande, me retourne un 1

J'ai localise le *bug* mais je n'ai pas les competences pour la corriger.

sed -n -e 's/.*\(.*\).*/*bug*/p' /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

avatar Anonyme (non vérifié) 03/06/2011 - 17:12

On peut tout faire dans le Terminal (sans aller décocher Sécurité dans les Préfs):

[b]sudo /usr/libexec/XProtectUpdater[b]

avatar jabial 03/06/2011 - 17:37

@amigafred91 Ma commande telle qu'elle est actuellement marche. Fais un refresh et refais un copier-coller. Mais si elle retourne un "1", c'est simplement qu'il manque un antislash avant le 1 dans la commande.

avatar amigafred91 03/06/2011 - 20:12

@jabial : merci :p ca marche maintenant.

Vous touchez grave votre bille avec le terminal.

Je vais chercher a prendre des cours.

Le seul probleme, c'est qu'avec osx, on perd ses reflexes windowzien : touher au systeme :/ Le systeme est tellement bien :)

avatar jabial 03/06/2011 - 21:40

Il existe des tutoriels sur sed.

Par exemple :
http://www.commentcamarche.net/faq/9536-sed-introduction-a-sed-part-i

(ce n'est que la première partie, voir les liens à la fin, il y en a 3)

avatar joinman 03/06/2011 - 23:50

Bonjour à tous - Je me permets de remettre ma question ici. L'ancien post concernant cette MAJ de fichier date un peu....

J'ai little snitch activé, et xprotect.plist ne se met pas à jour. Le problème est que je n'arrive pas à isoler le daemon pour pouvoir autoriser son accès au net. L'erreur dans la console est :

" Jun 3 16:22:50 xxxxxxx XProtectUpdater[19]: NSURLConnection error: Error Domain=NSURLErrorDomain Code=-1009 UserInfo=0x100103060 "This computer’s Internet connection appears to be offline." Underlying Error=(Error Domain=kCFErrorDomainCFNetwork Code=-1009 UserInfo=0x100152c70 "This computer’s Internet connection appears to be offline.")
Jun 3 16:22:50 xxx com.apple.launchd[1] (com.apple.xprotectupdater[19]): Exited with exit code: 255"

Dès que je désactive Little Snitch tout rentre dans l'ordre et le fichier xprotect.plist est bien mis à jour. Il y a d'ailleurs 4 variantes de MacDefender...

merci à vous

avatar BeePotato 04/06/2011 - 00:05

@ joinman :
Quelque chose me dit que la réponse à ta question se trouve 4 commentaires au dessus du tien (/usr/libexec/XProtectUpdater)… ;-)

avatar r e m y 04/06/2011 - 15:32

Après tests, le fichier Xprotect.plist ne se télécharge pas automatiquement.

J'avais à l'instant (15h30) un fichier telechargé hier à 7h30 (lorsque j'ai été decocher/cocher la case des pref systeme/securité) et comportant les descriptions MacDefender A, B C et D

Pas d'autre telechargement alors que le fichier avait bien plus de 24h

Je suis retourné decocher/cocher la case, instantanément un nouveau fichier s'est téléchargé avec cette fois les versions A,B,C,D et E de MacDefender!!!

avatar joinman 04/06/2011 - 16:52

@beepotato - Merci de ta réponse !
Apparemment mon problème ne doit pas être lié à Little Snitch. Je viens de le désactiver et toujours le même message. En revanche la commande sudo /usr/libexec/XProtectUpdater fonctionne à merveille. Je viens de récupérer la variante ".E". Maintenant je ne sais toujours pas pourquoi un tel problème....

@remy : as tu regardé les log dans /var/log/system.log ? as tu la même erreur que moi ? (cf page 1) - tu peux faire un filtre dans console sur XProtect....

Merci

avatar r e m y 04/06/2011 - 17:26

Aucune erreur dans la console...
Par contre, mon iMac qui reste allumé quasi en permanence semble se mettre à jour, mais mon MacBook Pro que j'allume à la demande, lui, semble ne pas "remarquer" que le dernier fichier telechargé est vieux de plus de 24h

avatar BoloM 05/06/2011 - 09:09

Heu, on parle encore de Mac là ? Etre obligé d'utiliser des codes bizarres pour être sûr que la liste est bien mise à jour ? Si on est maintenant dans l'ère des anti-malware sur Mac, ce serait bien qu'Apple sorte un programme complet avec une interface graphique pour vérifier ce genre de chose. D'autres l'ont déjà fait sur d'autres plateformes et ça marche plutôt bien, c.f. Microsoft Security Essentials !