Un malware affecterait 17 000 Mac
Un logiciel malveillant aurait contaminé environ 17 000 Mac. Selon l'éditeur d'applications de sécurité Dr.Web qui est à l'origine de la découverte, Mac.BackDoor.iWorm crée une porte dérobée qui permet ensuite de prendre le contrôle de la machine à distance. Ce type de malware sert notamment à faire des ordinateurs infectés des botnets (ou machines zombies) utilisés pour mener des campagnes de spam ou des attaques DDoS.
Dr.Web indique que le logiciel se décompresse dans le dossier /Library/Application Support/JavaW — si ce dossier n'est pas présent dans votre ordinateur, vous n'êtes donc pas touché. Puis le malware crée un fichier plist, se déguise en application com.JavaW et fait en sorte de se lancer au démarrage de la machine. Il va ensuite chercher sur le site communautaire Reddit la liste des serveurs auxquels il doit se connecter. Le forum en question et son utilisateur ont depuis été bannis. Sauf si le malware est capable de chercher ailleurs que sur Reddit, la menace est donc écartée.
XProtect, la liste de références de logiciels malveillants d'OS X, n'a semble-t-il pas encore été mise à jour pour prendre en compte Mac.BackDoor.iWorm. Le chemin d'accès à la liste est le suivant :
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
@thyosis
Apparemment ce serait le cas en effet.
Mais avant de tout reformater et reconfigurer comme le conseille The Safe Mac, perso je tenterais plusieurs choses.
D'abord, remonter dans Time Machine jusqu'au jour où le dossier n'existait pas. Ensuite sauvegarder tous les documents modifiés depuis. Finalement restaurer tout le disque dur avec la copie TM datant de 2-3 jours avant l'apparition du dossier.
Sinon on peut aussi tenter de voir ce que dit Little Snitch pour repérer les domaines contactés afin de stopper tout contact dès le démarrage.
Mais au final peut-être qu'il suffit d'attendre la prochaine MAJ de sécurité d'Apple.
Merci de vos conseils, moi pour ma part j'ai pas pris de risque, j'ai reformater mon mac, il était neuf il y'a pratiquement rien dessus, en tout cas merci à MacG pour l'info :)
@i-han
Je peux te prouver le contraire et même quand je lance windows dessus ça va plus vite!
J'ai trouvé le machin sur mon iMac.
Après avoir navigué jusqu'au :
/Library/Application Support/JavaW,
J'ai supprimé JavaW. je suis ensuite allé jusqu'au :
/Library/LaucnhDeamons/com.JavaW
et j'ai supprimé :
com.JavaW
On redémarre et on oublie ça : le machin ne s'ouvre plus au démarrage et ne va plus se brancher sur Reddit (lui-même désactivé de toute façon).
M
Pages