Un nouveau Trojan s'invite sur Mac

Christophe Laporte |
Un nouveau Troyen vient de faire son apparition sur notre plate-forme. Il s'agit de Trojan-Dropper:OSX/Revir.A, une application qui prend la forme d'un document PDF rédigé en chinois. Le contenu du PDF est bien entendu susceptible d'évoluer à tout moment.



Lorsque vous l'ouvrez, un exécutable se met en route à votre insu, afin d'installer une porte dérobée. Ce malware qui ne marche que sur les Mac Intel est en théorie capable de prendre des captures d'écran et de les envoyer vers un serveur distant. Manifestement, il peut exécuter d'autres commandes. Du moins en théorie, car pour l'heure, il n'est pas entièrement fonctionnel, il ne parvient pas à communiquer avec son serveur distant.

Pour Intego, dans l'état des choses, il s'agit d'une preuve de concept. L'éditeur indique que le fichier en question ne semble pas se propager sur le web. Il va de soi que si une "offensive" venait à être menée, le courriel serait le vecteur de propagation privilégié.

Dans le cas où vous auriez un doute, lancez le Moniteur d'activité et recherchez le processus suivant "checkvir".

Dans le cas très improbable où… il vous faudra alors forcer à quitter cette application et effacer les fichiers en question :
/users/user/Library/LaunchAgents/checkvir
/users/user/Library/LaunchAgents/checkvir.plist
Tags
avatar Marc Duchesne | 

@ gregelhombre :
Android en est effectivement infesté. Sa d'appel de la pub.

avatar Orus | 

Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ?

avatar tomahawkcochise | 

@ orus : ... Et être dé-installé tout aussi facilement

avatar Switcher | 

@orus

Là, ça n'a pas grand-chose à voir avec le système, c'est l'utilisateur qu'il faut éduquer.

avatar rom54 | 

A priori il s'agit d'une application qui cache son extension (.app). Ca semble etre le truc le plus bête existant a savoir une application qui s'ouvre quand on double-clic dessus... Donc avec le message du Mac "Machin est une application telecharge sur le net, voulez, vous l'ouvrir?" Et la suffit de dire non!

En plus, un petit "Lire les informations" la met hors jeu... Donc pas de vrai danger apparemment et sa ressemble au travail d'un scriptkiddy bien desoeuvré.

Et comme ça doit s'installer par mail ou par telechargment, les conseils de bases c'est de toujours vérifier la nature de ce que l'on reçoit avant de l'ouvrir, désactiver l'ouverture automatique des fichiers telecharges dans Safari, et faire un minimum attention...

avatar BeePotato | 

@ orus : « Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ? »

Comme sur tout système où l’utilisateur a le droit de lancer une application récupérée de n’importe où : il n’y a alors aucune compétence technique particulière requise pour créer un cheval de troie.

avatar bigham | 

@orus

"Comment, sur le système d'exploitation le plus sûr du monde (dixit certains) un cheval de troie peut-il s'installer si facilement ?"

La réponse est dans ta question : Mac OS X est le (un des ?) système(s) le(s) plus sûr(s). Pas nécessairement le plus sécurisé. Éternel refrain : safety vs security.

avatar BitNic | 

Comme dit l'expression : On va être Trojan comme devant !

avatar BeePotato | 

@ PierreBondurant : « Encore et tjs un pdf... »
@ gregelhombre : « Après FLASH, Apple décide de bloquer les PDF !! »

Encore une fois : il ne s’agit pas d’un PDF.
Juste d’une application tentant de faire croire (mais ni Intego, ni f-secure ne nous indiquent comment) qu’elle est un PDF. Du coup, comme toute application, elle est soumise au même message d’avertissement lors de son premier lancement, si elle a été récupérée via le net (email ou téléchargement).
En seront donc vitcimes uniquement ceux qui, en plus d’ouvrir sans se poser de question n’importe quel fichier reçu de n’importe où, cliquent sur « ouvrir » sans lire le message d’avertissement.

avatar BitNic | 

A force de Mal voir, on va attraper un virus...

avatar BitNic | 

Et même si vous faîtes du Cheval deux trois fois par semaine, vous n'avez rien à craindre puisque BisouNours vous protège...

Ouf... ça fume sec...

avatar manu1707 | 

@Manueel :
Pardon ... :)

avatar Abd Salam | 

@ Manueel,

On dit "troyen" en français... et on peut dire "mot de passe", également...

avatar Calintz | 

... Un bon gris pétard mouillé.
Ça existe depuis toujours.
Encore une fois, pas dl n'importe quoi.

avatar Le principe ignoto | 

[quote=lukalafaget]Oué ca commence, c'est le debut... Et ce sera de pire en pire surtout vu la reactivé de mollusque d'apple a corriger ce genre de trucs![/quote]
Mon pauvre vieux, tu as perdu une bonne occasion de te taire : le fichier XProtect de mon Mac s'est mis automatiquement à jour ce matin à l'allumage pour intégrer la définition de ce cheval de Troie dans sa base de données ! (Va voir Système/Bibliothèque/CoreServices/CoreTypes.bundle et demande Afficher le contenu du paquet, puis vérifie le fichier /Contents/Resources/XProtect.plist, tu constateras qu'il a été modifié aujourd'hui, et si tu l'ouvres avec Property List Editor, tu verras que l'item 19 concerne OSX.Revir.A).
Et, à l'avenir, évite de parler sans savoir !

avatar eilon | 

Ah! Qu'elle est lointaine la bonne époque où l'on pouvait encore se moquer de Windows :)

avatar Mabeille | 

en effet c’est curieux que dans les corps humain c’est le système immunitaire qui détecte en premier les corps infectieux. Je soupçonne les lymphocytes de créer eux mêmes les infections pour faire croire qu'on a besoin d'eux .... à mort les lymphocytes!!!

allons allons c'est le système immunitaire qui détecte les corps infectieux parce que c'est lui qui est en première ligne et que c'est son boulot!!!!

Idem pour les antivirus et autres éditeurs dont c'est le métier de regarder ce qui se passe et de lancer des alertes!!

avatar ChristOff | 

@le principe ignoto: pas chez moi, mais la machine n'a pas été redémarrée ce matin, simplement sortie de veille, comme quoi...

@certains: vous avez beau vous moquer (cfr les messages du style "il faut être le dernier des c.ns pour cliquer sur ouvrir si le système demande quelque chose comme ça" etc), toujours est-il que c'est le vecteur d'infection le plus répandu existant: profiter de la naïveté et de l'ignorance IT de l'utilisateur pour lui faire installer tout et n'importe quoi. Et oui, c'est la rançon du succès.

Vous pensiez sincèrement qu'il suffisait qu'un virus passe devant la porte pour que la fenêtre s'ouvre magiquement? Ben non, ce genre de truc est l'exception (qui profite d'une faille du système, qu'aurait très bien pu exploiter les créateurs de jailbreakme sur iOS dans un domaine plus proche, par exemple), pas la règle. Sur les 100 milliards de milliards de virus pour Windows (pour reprendre une certaine caricature), la plupart fonctionnent comme ça, bluffer l'utilisateur avec des messages alarmistes (votre ordinateur n'est pas protégé par super_truc, cliquez ici pour l'installer) ou profiter de son manque de sens critique (tata Jeannine qui ne parle que français envoi un mail en anglais, ouvrons, ah ça demande d'installer un plugin pour lire sa vidéo, installons)...

Alors bon, vous avez beau vous enfoncer la tête dans le sable (ça ne demande pas le mdp admin, il faut un intervention de l'utilisateur, etc etc), toujours est-il que ce sont bien là des virus au sens large qui arrivent: des programmes malveillants destinés à OS X. Vous ne serez sans doute pas infectés et c'est tant mieux, mais ce n'est sans doute pas à vous que ce genre de choses s'adresse.

avatar Philactere | 

@ChristOff :
Tu as bien évidement raison, les remarques style "il faut vraiment être con" ne sont pas vraiment sympa pour les personnes concernées.
Le meilleur moyen de protéger ce public cible c'est de le mettre en garde en lui expliquant les (grosses) ficelles de ces virus, c'est ce que j'au tenté de faire avec humour quelque posts plus haut.

avatar Abd Salam | 

@ ChristOff,
Vous avez parfaitement raison... et je rajouterais que beaucoup de soucis chez Windows ne sont que le résultat de lammers, qui bien souvent n'en savent pas plus que l'utilisateur lambda et qui utilisent les outils créés par d'autres pour attaquer/embêter tout le monde et n'importe qui. Ce qui surmultiplie les attaques contre Windows comptabilisées.

avatar Manueel | 

@manu1707
Pas de problème, ca m'arrive aussi à moi de déraper :-)

avatar Freitag | 

@Abd Salam
Et "lammers", ça donne quoi en Français ? ;)

avatar Abd Salam | 

@ Freitag,

Je savais quelqu'un me ferait une remarque... ;-)

En l'occurence, je ne crois pas qu'il existe de terme en français pour remplacer "lamer". (donc la règle veut dans ce cas, que le mot étranger soit employé ;-) et même assimilé, autrement dit, que son orthographie soit francisé)

J'explique donc encore et toujours, ce qui est inacceptable c'est l'emploi du mot anglais, par simple mimétisme des Etats-Unis.
C'est une règle valable dans toutes les langues... on ne remplace pas un mot par un terme étranger (à l'exception des effets de styles) !

Dans toutes les langues, il est prévu d'employer un terme étranger uniquement et seulement lorqu'il n'existe pas de terme dans la langue pour désigner un concept/objet... (par ex, dans les armées U.S. on emploit donc l'expression française "esprit de corps")
http://www.flickr.com/photos/tfmarne/4340099944/

http://www.history.army.mil/books/R&H/R&H-Esprit.htm

avatar BeePotato | 

@ Abd Salam : Il y a en français tout un tas d’équivalents de « lamer ».
« Connard », par exemple. « Gros nul », voire « débile », si on ne veut pas être grossier.

avatar BeePotato | 

@ eilon : « Ah! Qu'elle est lointaine la bonne époque où l'on pouvait encore se moquer de Windows :) »

Ben non.

avatar Abd Salam | 

@ Beepotato,
Il me semblait que le mot "lamer" se traduisait par "minable",...
Le soucis, quoi qu'il en soit, c'est qu'il faut pas traduire "à la lettre", mais l'esprit de la lettre...

Tous les mots envisagés ne

avatar Abd Salam | 

Tous les mots envisagés ne renferment point l'idée que l'on veut exprimer par le termes "lamer"

avatar BeePotato | 

@ Abd Salam : En effet, j’avais oublié « minable »… mais il faut avouer que la liste des mots possibles est plutôt longue.
Et avec tous ces mots à disposition, on arrive très bien à traduire l’idée de « lamer ». Je ne vois pas bien quelle partie ne serait pas traduite, franchement.

avatar Philactere | 

@BeePotato :
Bah, il a découvert ce mot il y a 3 semaines sur Clubic et depuis il pense que c'est intraduisible puisque c'est nouveau.

avatar Abd Salam | 

@ BeePotato,

@ Philactère,

Y'a un léger malentendu, j'ai pas dit qu'on pouvait pas traduire le concept "lamer" en français... il faut juste une phrase pour le faire, si on ne veut pas utiliser l'outil prêt à l'emploi qu'est le mot anglais "lamer".

Je disais donc, peut-être pas assez clairement dans mon précédent message, qu'aucun mot français ne peut remplacer à lui tout seul le sens du mot "lamer" employé dans le contexte "informatique", du «minable/idiot qui cherche à nuir en profitant des compétences d'autrui / compétences qu'il n'a pas lui même».

C'est ce que j'ai appellé traduire l'idée et non simplement le mot... en le remplaçant par un mot qui n'est pas l'équivalent pour ainsi dire "parfait" de "lamer", car il n'en recouvre qu'un seul sens et/ou nuance.

avatar Marc Duchesne | 

OSX/Revir.A entrera par un logiciel de faible sécurité... Adobe...

avatar VTS | 

Qu'est ce que t'en dit des conneries, c'est fou o0

Et pouvoir changer le mot de pass du compte actif sans la moindre alerte ni demande de l'ancien password c'est pas de la faible sécurité made in apple ça?

Steve est fier de toi par contre et sa tondeuse t'attends :)

avatar GillouStyle | 

Pour ceux qui veulent l'info "jusqu'au bout":

Le texte (écris en Chinois traditionnel) soutient la souveraineté des îles Diaoyu/Senkaku/Pinnacle aux Japonais. (les taïwanais, japonais et les chinois revendiquent ces îles....).

Il s'agit de l'un des problèmes géopolitique de cette région.

http://fr.wikipedia.org/wiki/Îles_Senkaku

avatar okgenial | 

Il est efficace avec Apercu et Acrobat ???

avatar stefhan | 

Bref pas de quoi trop s'inquiéter en ce samedi 24 septembre...

avatar moebius256 | 

C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....

avatar fousfous | 

On en a plein sur PC.
c'est les vendeurs d'antivirus qui les créée.

avatar lukalafaget | 

Oué ca commence, c'est le debut... Et ce sera de pire en pire surtout vu la reactivé de mollusque d'apple a corriger ce genre de trucs! Decidement les switcher ca n'aura pas forcement aidé apple niveau image: virus, fabrication de gadget, perte de credibilté chez les independants/pro/creatif, mais gain de credibilité pour carrefour, mcdo et autres grosses boites a la con grace a l'appstore.

avatar winston75012 | 

Sur d'autres forum on parle de F-Secure comme découvreur de la chose.

avatar BeePotato | 

D’après la description disponible sur le site de f-secure, ce truc n’a rien à voir avec l’exploitation d’une vulnérabilité du format PDF : ce n’est pas un PDF contenant un exécutable, mais un exécutable contenant un PDF (et qui l’ouvre au moment où il est lui-même lancé, juste pour tenter de tromper l’utilisateur).
Le site ne décrit pas comment cet exécutable essaye de se faire passer pour un PDF (mais il doit échouer assez misérablement, en fait). Il y a juste une comparaison faite avec l’approche .pdf.exe sous Windows.

avatar Funigtor | 

J'attends alors la 10.6.9. :D

avatar ErGo_404 | 

[quote]moebius256 [24/09/2011 09:43]

C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....[/quote]
C'est peut être parce que c'est leur métier d'analyser les risques sur le net pour proposer une solution en premier ?
Les meilleurs laboratoires d'analyse et de découverte de virus sont les éditeurs d'antivirus, parce que tu sais le seul moyen pour eux de savoir détecter une menace c'est de se faire infecter pour voir les effets.

avatar LaurentR | 

Vu la façon de le repérer et de le supprimer, il n'a pas l'air très dangereux. C'est peut-être l'oeuvre du développeur de Little Snitch pour qu'on achète son utilitaire. OK je sors :))

avatar mccabbe | 

ndlr : on va commencer par respecter les consignes. Merci et bon we

avatar tibounise | 

@LaurentR :
Je sais pas si chez Obj-Dev ils auraient l'intérêt à faire ça.

avatar ziggyspider | 

[quote]moebius256 [24/09/2011 09:43]
C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....[/quote]
Vu leur boulot, il me parait compréhensible qu'ils soient à l'affut de nouvelles menaces, ils sont là pour débusquer, étudier et préparer une parade contre tout nouvel intrus. Ils ne serviraient pas à grand chose s'ils attendaient qu'un virus ait envahi le monde pour commencer à réagir.

avatar Un Vrai Con | 

Le plus terrible c'est que si ils n'en parlaient pas en premier, les mêmes qui dénoncent cela se gausseraient du peu d'expertise de ces spécialistes.

avatar Manueel | 

Question :
Ce trojan s'installe automatiquement à l'ouverture du fichier
même sans être en cession administrateur ?
et sans demander un password administrateur ?

avatar ce78 | 

Déjà, ouvrir un fichier qu'on n'attend pas, de quelqu'un qu'on ne connait pas, puis entrer son MDP administrateur pour exécuter le logiciel qu'il contient, faut être un peu demeuré...

avatar Philactere | 

@ErGo_404 et ziggyspider :

Chuuuut ne lui en dites pas trop, son univers remplis de complots risquerait s'être mis à mal si d'aventure Il se mettait à réfléchir.

Pages

CONNEXION UTILISATEUR