Fermer le menu
 

Un nouveau Trojan s'invite sur Mac

Christophe Laporte | | 09:29 |  65
Un nouveau Troyen vient de faire son apparition sur notre plate-forme. Il s'agit de Trojan-Dropper:OSX/Revir.A, une application qui prend la forme d'un document PDF rédigé en chinois. Le contenu du PDF est bien entendu susceptible d'évoluer à tout moment.



Lorsque vous l'ouvrez, un exécutable se met en route à votre insu, afin d'installer une porte dérobée. Ce malware qui ne marche que sur les Mac Intel est en théorie capable de prendre des captures d'écran et de les envoyer vers un serveur distant. Manifestement, il peut exécuter d'autres commandes. Du moins en théorie, car pour l'heure, il n'est pas entièrement fonctionnel, il ne parvient pas à communiquer avec son serveur distant.

Pour Intego, dans l'état des choses, il s'agit d'une preuve de concept. L'éditeur indique que le fichier en question ne semble pas se propager sur le web. Il va de soi que si une "offensive" venait à être menée, le courriel serait le vecteur de propagation privilégié.

Dans le cas où vous auriez un doute, lancez le Moniteur d'activité et recherchez le processus suivant "checkvir".

Dans le cas très improbable où… il vous faudra alors forcer à quitter cette application et effacer les fichiers en question :
/users/user/Library/LaunchAgents/checkvir
/users/user/Library/LaunchAgents/checkvir.plist
Catégories: 
Tags : 

Les derniers dossiers

Ailleurs sur le Web


65 Commentaires

avatar Marc Duchesne 24/09/2011 - 14:03

@ gregelhombre :
Android en est effectivement infesté. Sa d'appel de la pub.

avatar Orus 24/09/2011 - 14:12

Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ?

avatar tomahawkcochise 24/09/2011 - 14:20

@ orus : ... Et être dé-installé tout aussi facilement



avatar Switcher 24/09/2011 - 14:30

@orus

Là, ça n'a pas grand-chose à voir avec le système, c'est l'utilisateur qu'il faut éduquer.

avatar rom54 24/09/2011 - 14:30

A priori il s'agit d'une application qui cache son extension (.app). Ca semble etre le truc le plus bête existant a savoir une application qui s'ouvre quand on double-clic dessus... Donc avec le message du Mac "Machin est une application telecharge sur le net, voulez, vous l'ouvrir?" Et la suffit de dire non!

En plus, un petit "Lire les informations" la met hors jeu... Donc pas de vrai danger apparemment et sa ressemble au travail d'un scriptkiddy bien desoeuvré.

Et comme ça doit s'installer par mail ou par telechargment, les conseils de bases c'est de toujours vérifier la nature de ce que l'on reçoit avant de l'ouvrir, désactiver l'ouverture automatique des fichiers telecharges dans Safari, et faire un minimum attention...

avatar BeePotato 24/09/2011 - 14:37

@ orus : « Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ? »

Comme sur tout système où l’utilisateur a le droit de lancer une application récupérée de n’importe où : il n’y a alors aucune compétence technique particulière requise pour créer un cheval de troie.

avatar bigham 24/09/2011 - 14:42

@orus

"Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ?"

La réponse est dans ta question : Mac OS X est le (un des ?) système(s) le(s) plus sûr(s). Pas nécessairement le plus sécurisé. Éternel refrain : safety vs security.

avatar BitNic 24/09/2011 - 14:53

Comme dit l'expression : On va être Trojan comme devant !

avatar BeePotato 24/09/2011 - 14:54

@ PierreBondurant : « Encore et tjs un pdf... »
@ gregelhombre : « Après FLASH, Apple décide de bloquer les PDF !! »

Encore une fois : il ne s’agit pas d’un PDF.
Juste d’une application tentant de faire croire (mais ni Intego, ni f-secure ne nous indiquent comment) qu’elle est un PDF. Du coup, comme toute application, elle est soumise au même message d’avertissement lors de son premier lancement, si elle a été récupérée via le net (email ou téléchargement).
En seront donc vitcimes uniquement ceux qui, en plus d’ouvrir sans se poser de question n’importe quel fichier reçu de n’importe où, cliquent sur « ouvrir » sans lire le message d’avertissement.

avatar BitNic 24/09/2011 - 14:58

A force de Mal voir, on va attraper un virus...

avatar BitNic 24/09/2011 - 15:02

Et même si vous faîtes du Cheval deux trois fois par semaine, vous n'avez rien à craindre puisque BisouNours vous protège...

Ouf... ça fume sec...

avatar manu1707 24/09/2011 - 16:26

@Manueel :
Pardon ... :)

avatar Abd Salam 24/09/2011 - 17:09

@ Manueel,

On dit "troyen" en français... et on peut dire "mot de passe", également...

avatar Calintz 24/09/2011 - 17:19

... Un bon gris pétard mouillé.
Ça existe depuis toujours.
Encore une fois, pas dl n'importe quoi.

avatar Le principe ignoto 24/09/2011 - 17:51

[quote=lukalafaget]Oué ca commence, c'est le debut... Et ce sera de pire en pire surtout vu la reactivé de mollusque d'apple a corriger ce genre de trucs![/quote]
Mon pauvre vieux, tu as perdu une bonne occasion de te taire : le fichier XProtect de mon Mac s'est mis automatiquement à jour ce matin à l'allumage pour intégrer la définition de ce cheval de Troie dans sa base de données ! (Va voir Système/Bibliothèque/CoreServices/CoreTypes.bundle et demande Afficher le contenu du paquet, puis vérifie le fichier /Contents/Resources/XProtect.plist, tu constateras qu'il a été modifié aujourd'hui, et si tu l'ouvres avec Property List Editor, tu verras que l'item 19 concerne OSX.Revir.A).
Et, à l'avenir, évite de parler sans savoir !

avatar eilon 24/09/2011 - 18:43

Ah! Qu'elle est lointaine la bonne époque où l'on pouvait encore se moquer de Windows :)

avatar Mabeille 24/09/2011 - 18:58

en effet c’est curieux que dans les corps humain c’est le système immunitaire qui détecte en premier les corps infectieux. Je soupçonne les lymphocytes de créer eux mêmes les infections pour faire croire qu'on a besoin d'eux .... à mort les lymphocytes!!!

allons allons c'est le système immunitaire qui détecte les corps infectieux parce que c'est lui qui est en première ligne et que c'est son boulot!!!!

Idem pour les antivirus et autres éditeurs dont c'est le métier de regarder ce qui se passe et de lancer des alertes!!

avatar ChristOff 24/09/2011 - 19:18

@le principe ignoto: pas chez moi, mais la machine n'a pas été redémarrée ce matin, simplement sortie de veille, comme quoi...

@certains: vous avez beau vous moquer (cfr les messages du style "il faut être le dernier des c.ns pour cliquer sur ouvrir si le système demande quelque chose comme ça" etc), toujours est-il que c'est le vecteur d'infection le plus répandu existant: profiter de la naïveté et de l'ignorance IT de l'utilisateur pour lui faire installer tout et n'importe quoi. Et oui, c'est la rançon du succès.

Vous pensiez sincèrement qu'il suffisait qu'un virus passe devant la porte pour que la fenêtre s'ouvre magiquement? Ben non, ce genre de truc est l'exception (qui profite d'une faille du système, qu'aurait très bien pu exploiter les créateurs de jailbreakme sur iOS dans un domaine plus proche, par exemple), pas la règle. Sur les 100 milliards de milliards de virus pour Windows (pour reprendre une certaine caricature), la plupart fonctionnent comme ça, bluffer l'utilisateur avec des messages alarmistes (votre ordinateur n'est pas protégé par super_truc, cliquez ici pour l'installer) ou profiter de son manque de sens critique (tata Jeannine qui ne parle que français envoi un mail en anglais, ouvrons, ah ça demande d'installer un plugin pour lire sa vidéo, installons)...

Alors bon, vous avez beau vous enfoncer la tête dans le sable (ça ne demande pas le mdp admin, il faut un intervention de l'utilisateur, etc etc), toujours est-il que ce sont bien là des virus au sens large qui arrivent: des programmes malveillants destinés à OS X. Vous ne serez sans doute pas infectés et c'est tant mieux, mais ce n'est sans doute pas à vous que ce genre de choses s'adresse.

avatar Philactere 24/09/2011 - 19:34

@ChristOff :
Tu as bien évidement raison, les remarques style "il faut vraiment être con" ne sont pas vraiment sympa pour les personnes concernées.
Le meilleur moyen de protéger ce public cible c'est de le mettre en garde en lui expliquant les (grosses) ficelles de ces virus, c'est ce que j'au tenté de faire avec humour quelque posts plus haut.

avatar Abd Salam 24/09/2011 - 19:49

@ ChristOff,
Vous avez parfaitement raison... et je rajouterais que beaucoup de soucis chez Windows ne sont que le résultat de lammers, qui bien souvent n'en savent pas plus que l'utilisateur lambda et qui utilisent les outils créés par d'autres pour attaquer/embêter tout le monde et n'importe qui. Ce qui surmultiplie les attaques contre Windows comptabilisées.

avatar Manueel 24/09/2011 - 20:51

@manu1707
Pas de problème, ca m'arrive aussi à moi de déraper :-)

avatar Freitag 24/09/2011 - 20:59

@Abd Salam
Et "lammers", ça donne quoi en Français ? ;)

avatar Abd Salam 24/09/2011 - 21:53

@ Freitag,

Je savais quelqu'un me ferait une remarque... ;-)

En l'occurence, je ne crois pas qu'il existe de terme en français pour remplacer "lamer". (donc la règle veut dans ce cas, que le mot étranger soit employé ;-) et même assimilé, autrement dit, que son orthographie soit francisé)

J'explique donc encore et toujours, ce qui est inacceptable c'est l'emploi du mot anglais, par simple mimétisme des Etats-Unis.
C'est une règle valable dans toutes les langues... on ne remplace pas un mot par un terme étranger (à l'exception des effets de styles) !

Dans toutes les langues, il est prévu d'employer un terme étranger uniquement et seulement lorqu'il n'existe pas de terme dans la langue pour désigner un concept/objet... (par ex, dans les armées U.S. on emploit donc l'expression française "esprit de corps")
http://www.flickr.com/photos/tfmarne/4340099944/

http://www.history.army.mil/books/R&H/R&H-Esprit.htm

avatar BeePotato 24/09/2011 - 22:29

@ Abd Salam : Il y a en français tout un tas d’équivalents de « lamer ».
« Connard », par exemple. « Gros nul », voire « débile », si on ne veut pas être grossier.

avatar BeePotato 24/09/2011 - 22:29

@ eilon : « Ah! Qu'elle est lointaine la bonne époque où l'on pouvait encore se moquer de Windows :) »

Ben non.

Pages