Fermer le menu
 

Un nouveau Trojan s'invite sur Mac

Christophe Laporte | | 09:29 |  65

Un nouveau Troyen vient de faire son apparition sur notre plate-forme. Il s'agit de Trojan-Dropper:OSX/Revir.A, une application qui prend la forme d'un document PDF rédigé en chinois. Le contenu du PDF est bien entendu susceptible d'évoluer à tout moment.

Lorsque vous l'ouvrez, un exécutable se met en route à votre insu, afin d'installer une porte dérobée. Ce malware qui ne marche que sur les Mac Intel est en théorie capable de prendre des captures d'écran et de les envoyer vers un serveur distant. Manifestement, il peut exécuter d'autres commandes. Du moins en théorie, car pour l'heure, il n'est pas entièrement fonctionnel, il ne parvient pas à communiquer avec son serveur distant.

Pour Intego, dans l'état des choses, il s'agit d'une preuve de concept. L'éditeur indique que le fichier en question ne semble pas se propager sur le web. Il va de soi que si une "offensive" venait à être menée, le courriel serait le vecteur de propagation privilégié.

Dans le cas où vous auriez un doute, lancez le Moniteur d'activité et recherchez le processus suivant "checkvir".

Dans le cas très improbable où… il vous faudra alors forcer à quitter cette application et effacer les fichiers en question :
/users/user/Library/LaunchAgents/checkvir
/users/user/Library/LaunchAgents/checkvir.plist

Catégorie : 
Tags : 

Les derniers dossiers

65 Commentaires

avatar okgenial 24/09/2011 - 09:39

Il est efficace avec Apercu et Acrobat ???

avatar stefhan 24/09/2011 - 09:39

Bref pas de quoi trop s'inquiéter en ce samedi 24 septembre...

avatar moebius256 24/09/2011 - 09:43

C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....

avatar fousfous 24/09/2011 - 09:45

On en a plein sur PC.
c'est les vendeurs d'antivirus qui les créée.

avatar lukalafaget 24/09/2011 - 09:53

Oué ca commence, c'est le debut... Et ce sera de pire en pire surtout vu la reactivé de mollusque d'apple a corriger ce genre de trucs! Decidement les switcher ca n'aura pas forcement aidé apple niveau image: virus, fabrication de gadget, perte de credibilté chez les independants/pro/creatif, mais gain de credibilité pour carrefour, mcdo et autres grosses boites a la con grace a l'appstore.

avatar winston75012 24/09/2011 - 09:57

Sur d'autres forum on parle de F-Secure comme découvreur de la chose.

avatar BeePotato 24/09/2011 - 10:08

D’après la description disponible sur le site de f-secure, ce truc n’a rien à voir avec l’exploitation d’une vulnérabilité du format PDF : ce n’est pas un PDF contenant un exécutable, mais un exécutable contenant un PDF (et qui l’ouvre au moment où il est lui-même lancé, juste pour tenter de tromper l’utilisateur).
Le site ne décrit pas comment cet exécutable essaye de se faire passer pour un PDF (mais il doit échouer assez misérablement, en fait). Il y a juste une comparaison faite avec l’approche .pdf.exe sous Windows.

avatar Funigtor 24/09/2011 - 10:21

J'attends alors la 10.6.9. :D

avatar ErGo_404 24/09/2011 - 10:25

[quote]moebius256 [24/09/2011 09:43]

C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....[/quote]
C'est peut être parce que c'est leur métier d'analyser les risques sur le net pour proposer une solution en premier ?
Les meilleurs laboratoires d'analyse et de découverte de virus sont les éditeurs d'antivirus, parce que tu sais le seul moyen pour eux de savoir détecter une menace c'est de se faire infecter pour voir les effets.

avatar LaurentR 24/09/2011 - 10:45

Vu la façon de le repérer et de le supprimer, il n'a pas l'air très dangereux. C'est peut-être l'oeuvre du développeur de Little Snitch pour qu'on achète son utilitaire. OK je sors :))

avatar mccabbe 24/09/2011 - 10:45

ndlr : on va commencer par respecter les consignes. Merci et bon we

avatar tibounise 24/09/2011 - 11:00

@LaurentR :
Je sais pas si chez Obj-Dev ils auraient l'intérêt à faire ça.

avatar ziggyspider 24/09/2011 - 11:03

[quote]moebius256 [24/09/2011 09:43]
C'est toujours très curieux de savoir que ce sont les éditeurs d'antivirus qui en parlent en premier.
Bref....[/quote]
Vu leur boulot, il me parait compréhensible qu'ils soient à l'affut de nouvelles menaces, ils sont là pour débusquer, étudier et préparer une parade contre tout nouvel intrus. Ils ne serviraient pas à grand chose s'ils attendaient qu'un virus ait envahi le monde pour commencer à réagir.

avatar Un Vrai Con 24/09/2011 - 11:52

Le plus terrible c'est que si ils n'en parlaient pas en premier, les mêmes qui dénoncent cela se gausseraient du peu d'expertise de ces spécialistes.

avatar Manueel 24/09/2011 - 12:04

Question :
Ce trojan s'installe automatiquement à l'ouverture du fichier
même sans être en cession administrateur ?
et sans demander un password administrateur ?

avatar ce78 24/09/2011 - 12:07

Déjà, ouvrir un fichier qu'on n'attend pas, de quelqu'un qu'on ne connait pas, puis entrer son MDP administrateur pour exécuter le logiciel qu'il contient, faut être un peu demeuré...

avatar Philactere 24/09/2011 - 12:13

@ErGo_404 et ziggyspider :

Chuuuut ne lui en dites pas trop, son univers remplis de complots risquerait s'être mis à mal si d'aventure Il se mettait à réfléchir.

avatar Switcher 24/09/2011 - 12:14

@lukalafaget

Des virus, troyens, malwares sur Mac, on en parle depuis Mac OS X [i]"vous allez voir quand le Mac prendra des Parts de Marché"[/i].
C'était il y a 10 ans. On a vu.

Ce qui n'exclut pas une vigilance renforcée.

avatar PierreBondurant 24/09/2011 - 12:14

Encore et tjs un pdf...

avatar manu1707 24/09/2011 - 12:24

Et il y a quelqu'un d'assez c** pour ouvrir ça ???

avatar Philactere 24/09/2011 - 12:30

@manu1707 :
Pourquoi ? C'est pas bien d'ouvrir un mail en anglais provenant de ma mère francophone, intitulé "About our work meeting" et contenant un fichier joint en japonais ?
Bin alors ça, si on ne peut plus faire confiance a sa propre mère ;-)

avatar Rigat0n 24/09/2011 - 12:36

je suis content, j'ai gagné 150€ en 2 mails
t'as enfin accepté le deal pyramidal d'un gourou ?
nan
moi j'ai gagné 12 fois 5 000 000$
à la LOTTERY UK
j'ai trop de bol
sans compter le virement de Monsieur MAMADOU N'BANG
de 4 milliards de roubles sterling

(bashfr.org)

avatar gregelhombre 24/09/2011 - 12:36

Bon ca va, 1 trojans contre 500 000 virus ou autre sous windaube !!
Il y a plus de virus et trojans sous android que sur mac !!!!

avatar gregelhombre 24/09/2011 - 12:41

Après FLASH, Apple décide de bloquer les PDF !!

avatar bugman 24/09/2011 - 12:45

Il faut croire que la plateforme commence à être attirante pour les hackers.
Ce qui est certains, c'est que nous restons sur une plateforme informatique, qui même si elle a des bases sûr n'est pas garantie 100% sans trous.
L'utilisateur doit rester vigilant, Apple doit travailler la dessus aussi. C'est ce genre de "merde" qui peut lancer une commande permettant de changer un mot de passe (par exemple). Un exécutable lancé sur une machine à notre insu peut aussi détruire des données.
Bref, il ne faut pas être parano mais je ne pense pas qu'il fasse s'en foutre complètement non plus.

Pages