DevilRobber.A ne fait plus peur à Mac OS X
Le dernier malware en date découvert il y a un peu moins d’une semaine, est maintenant parfaitement “géré” par Mac OS X. Apple a récemment mis à jour le fichier de définition de XProtect, afin de bloquer DevilRobber.A avant qu’il ne fasse des dégâts.
Ce dernier a pour particularité de se dissimuler à l'intérieur de différentes applications Mac qui font office, malgré elles, de mules. C’était le cas notamment d’une version de GraphicConverter 7.4 qui circule apparemment sur BitTorrent.
Concrètement, ce trojan aux dires d’Intego (lire : Des logiciels Mac comme mules pour un malware) est capable de faire les choses suivantes :
- Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire
- Il s'installe ensuite dans le dossier LaunchAgent de manière à s'exécuter à chaque ouverture de session
- Il lance quelques recherches Spotlight et insère ses trouvailles dans un fichier texte. Il récupère l'historique des commandes Terminal lancées par l'utilisateur ; l'historique de Safari ; il fait une capture d'écran et enregistre le tout. Il récupère aussi d'éventuels Bitcoins (une monnaie virtuelle). Une autre variante, explique Intego, attrape au passage le fichier du Trousseau d'accès.
- Il ouvre ensuite un port (34522), attend que l'utilisateur saisisse ses identifiants de session et les récupère puis communique ces données vers un serveur distant. Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles. Il peut aussi tirer sur les ressources processeur de la carte graphique en essayant de générer des Bitcoins par des séries de calculs.
Ce dernier a pour particularité de se dissimuler à l'intérieur de différentes applications Mac qui font office, malgré elles, de mules. C’était le cas notamment d’une version de GraphicConverter 7.4 qui circule apparemment sur BitTorrent.
Concrètement, ce trojan aux dires d’Intego (lire : Des logiciels Mac comme mules pour un malware) est capable de faire les choses suivantes :
- Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire
- Il s'installe ensuite dans le dossier LaunchAgent de manière à s'exécuter à chaque ouverture de session
- Il lance quelques recherches Spotlight et insère ses trouvailles dans un fichier texte. Il récupère l'historique des commandes Terminal lancées par l'utilisateur ; l'historique de Safari ; il fait une capture d'écran et enregistre le tout. Il récupère aussi d'éventuels Bitcoins (une monnaie virtuelle). Une autre variante, explique Intego, attrape au passage le fichier du Trousseau d'accès.
- Il ouvre ensuite un port (34522), attend que l'utilisateur saisisse ses identifiants de session et les récupère puis communique ces données vers un serveur distant. Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles. Il peut aussi tirer sur les ressources processeur de la carte graphique en essayant de générer des Bitcoins par des séries de calculs.
Moins d'une semaine:-) La réactivité d'Apple est vraiment génial sur ce point !
Cela nécessite une mise a jour du système ?
@sizo: non le fichier se met à jour tout seul.
Pour info où se trouve ce fichier Xprotect déjà ?
@sizo :
je ne crois pas ! Mais je ne peux pas affirmer à 100%. Quelqu'un le fera sûrement très vite :p
'Il continue ensuite à scanner le réseau ou encore chercher des images pédophiles'
WTF ? Pourquoi le virus cherche-t-il des images pédophiles ?
Non, la MAJ c'est faite de manière transparente pour l'utilisateur :)
@sizo :
Non, si l'option 'mettre à jour automatiquement la liste des téléchargements sûrs' est activée dans les préférences système (rubrique Sécurité je pense), il n'y a rien à faire. De mémoire, le système est en place depuis OS X 10.6.7 je pense.
@Rigat0n :
Oui, je me suis posé la même question, surtout que ses recherches ne doivent être (enfin j'espère) que rarement fructueuses...
Désolé pour mon ignorance, mais qu'est-ce qu'un Bitcoin ? La page wikipedia est franchement incompréhensible là-dessus...
@Rigat0n :
mis au point par un pédophile qui veut agrandir sa photothèque sûrement ! :)
Merci pour les réponses ;-)
@ sizo
De rien :)
@bidibout
more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist
@nayals :
C'est une monaie virtuelle
@jackdu59
Ou un maître chanteur en puissance...
@Rigat0n :
'images pédophiles'
et surtout : comment fait il la différence ?
Windows, prends en de la graine....
Merci jducos !
Je viens de vérifier et de mon côté j'ai ça : OSX.MacDefender.G
Pourtant dans les prefs de sécurité j'ai bien coché pour qu'il mette à jour tout seul (je suis sous Snow Leo à jour).
Oops, je m'étais trompé de colonne, c'est bien à jour finalement :)
Euuu moi dans mon XProtect, j'ai un OSX.MacGene.A :D
@nayals
http://bitcoin.org/
Il y a des boutiques en ligne acceptant le paiement en bitcoin. Si vous en avez marre de mobiliser les ressources de votre ordinateur pour rechercher les petits hommes verts (Seti), utilisez-les pour générer des bitcoins :-)
[quote] Il vérifie d'abord la présence de LittleSnitch et le désactive si nécessaire[/quote]
Non. S'il trouve la présence de LittleSnitch il abandonne la partie et passe la main à l'application qui l'héberge, LittleSnitch pouvant révéler sa présence. Il ne peut pas le désactiver car le process principal de Little Snitch appartient à root ce qui nécessite un mot de passe admin pour le désactiver.
Cette merde est un joyeux mélange de C, Java et script Shell. Parmi la liste des choses citées il faut rajouter le fait qu'il fait des hard copy d'écran qui sont également envoyés sur le serveur. Je n'ai pas vu qu'il cherchait des images pornographiques. J'ai plutôt l'impression qu'il récupère des identifiants lui permettant de se connecter sur un porte monnaie électronique (wallet) afin d'y stocker les bitcoins générés.
@jackdu59 :
'@Rigat0n :
mis au point par un pédophile qui veut agrandir sa photothèque sûrement ! :)'
EXCELLENT :-)
bientot windows plus sur que le mac