Malware : nouvel outil d'Apple et arrivée de Sabpab

Florian Innocente |
Apple a mis en ligne son outil de suppression du malware Flashback et de certaines de ses variantes. Il s'agit du même lot inclus dans la précédente mise à jour de Java (2012-003), mais cette fois autonome et que l'utilisateur doit lancer : Flashback malware removal tool [1.0 - 345 Ko - OS X 10.7 - VF].

Surtout, ce petit utilitaire est destiné aux machines équipées de Lion, mais sur lesquelles Java n'était pas déjà présent. Apple aura probablement observé des scénarios dans lesquels une machine peut être infectée sans forcément le concours de Java.

Après son installation, il signalera à l'utilisateur si un logiciel malveillant a été trouvé et l'ôtera, un redémarrage peut être nécessaire pour finir cette opération (la capture ci-après montre le message que l'on peut obtenir en cas de présence).



Dans le cas contraire, si rien n'est trouvé, aucun message n'est affiché à l'utilisateur et les composants installés par Apple dans le système s'effacent automatiquement (CNET France a décortiqué le fonctionnement de cet outil dans sa version intégrée à Java).

Intego, dans un récent billet sur son blog, expliquait que ce malware avait été retrouvé sous au moins 18 variantes, et l'éditeur posait la question de savoir si l'outil d'Apple avait fiché toutes ces déclinaisons. De son côté, Sophos a repéré hier un autre malware, baptisé Sabpab, qui agit de la même manière que Flashback. Il s'installe sans bruit (sans nécessiter une interaction directe de l'utilisateur) et peut se mettre en relation avec un serveur extérieur, avec l'option ensuite de récupérer des informations sur la machine infectée ou d'y exécuter des commandes à distance (actions listées ci-après). Ce malware utilise en fait, comme son devancier, la faille de sécurité dans Java qui a été depuis comblée.



Ce même Sophos, dans une autre note, explique que ce Cheval de Troie peut également figurer dans les sauvegardes Time Machine s'il était présent depuis quelque temps sur le Mac concerné. Deux fichiers logés dans les dossiers Bibliothèque/Preferences de l'utilisateur sont à supprimer, baptisés :
- com.apple.PubSabAgent.pfile
- com.apple.PubSabAgent.plist

Sophos comme Symantec indiquent toutefois que l'activité et le déploiement de ce malware sont considérés comme assez faibles. Et depuis il y aura eu cette distribution du correctif pour Java.

Sur le même sujet :
- Apple publie (enfin) son outil pour supprimer Flashback
avatar Florian Innocente | 
@ Trollolol "Si on a une variante non prise en charge yaura pas de message non plus :)" Faut aussi qu'il reste un peu de surprises, sinon on s'emmerderait.
avatar BeePotato | 
@CleverF0x (et d'autres) : « Chapeau Apple pour ceux qui sont en 10.6 » Hum… Ceux qui sont en 10.6, ils ont Java installé par défaut et ont donc déjà eu l'occasion de faire tourner ce détecteur lors de la dernière mise à jour de Java. Logique qu'ils ne soient pas concernés par la version autonome, donc.
avatar Mabeille | 
@marc duchesne d'ailleurs tu as tellement raison qu'en enlevant les système d'alarme dans les maisons, les voleurs s'arrêteront d'eux même. @xDave oui si tu attrapes ce malware "java" sans java c'est que tu peux le chopper sans CQFD rien de plus que ce que je disais avant.
avatar pecos | 
@lucieaus : Bien vu. Effectivement, entendu sur BFM radio la semaine dernière : 600.000 millions d'après eux. Donc 600 milliards. Vous connaissiez pas les comiques de l'info ? :D
avatar Dadourun | 
@innocente À la différence d'une femme de ménage, je préférerais qu'il y ait un message aussi lorsque tout est propre, pas seulement si le virus est trouvé : si on installe ce programme, c'est justement pour être rassuré. Je trouve qu'Apple n'assure vraiment pas un cachou sur ce coup là, et réagit comme un informaticien de base. Je n'ai rien contre les informaticiens, mais beaucoup achètent du Mac pour justement être zen et ne pas avoir à comprendre comment fonctionne un ordinateur, juste pour faire ce qu'ils ont à faire.
avatar subsole | 
@Mabeille Bonjour, À mon avis, tu peux le "choper " sans Java, mais le malware pourrait rester dormant, jusqu'à ce que tu télécharges Java et que tu l'actives. C'est pour cela qu'Apple a sorti cet [i]"utilitaire est destiné aux machines équipées de Lion, mais sur lesquelles Java n'était pas déjà présent."[/i]
avatar jefrey | 
0,6 % de machines touchées en France, 96 % de stressés…
avatar Florian Innocente | 
@ Dadourun "À la différence d'une femme de ménage, je préférerais qu'il y ait un message aussi lorsque tout est propre" Je suis tout à fait d'accord.
avatar Marc Duchesne | 
Mabeille [14/04/2012 20:14] @marc duchesne d'ailleurs tu as tellement raison qu'en enlevant les système d'alarme dans les maisons, les voleurs s'arrêteront d'eux même. ---Pas de systèmes d'alarme, pas de voleurs... La poule, l'oeuf. Les virus, malware et cie sont le fruit de l'incompétence de Microsoft d'irradier le problème avant sa naissance. Tout a été au laissé aller. Des développeurs (honnêtes et malhonête) voyant le créneau y ont sauté par milliers. Tous sa est le produit d'une mauvaise gestion de leurs "écosystème"sans contrôle installé sur du hardware de multiple provenance et configuration incontrôlable. Sa se rapproche beaucoup d'Android à ce point de vue.
avatar Tominou | 
@Marc Duchesne : j'ose espérer que c'est du second degré ! Par ce que sinon tu dois te rendre compte du travail que ça représente un OS à développer... Linux/UNIX y a pas de virus parce pas de déploiement grand public c'est tout. Il y a autant de pc dans le monde grave à Microsoft qui a permis une grande ouverture des matériels. Donc il y a forcément de failles. Et pour le coup je préfère quelques virus et un parc informatique développé que rien du tout.
avatar Mabeille | 
@Marc Duchesne ohhhhhh comme tu es a coté de à plaque allez pour le plaisir http://www.infos-du-net.com/actualite/18217-creeper-virus.html tu changeras peut être d'avis ou tu trouveras une série d'excuses ou de justifications bidons pour fuir la réalité.... profites en pour lire l'article à la fin il y a un truc pour toi et les produits pommés.... d'ailleurs depuis 600 000 machines infctées ...
avatar jipeca | 
@Mabeille T'as du courage... Moi j'en ai littéralement les bras qui m'en tombent d'incrédulité... Je n'imaginais même pas qu'il soit possible de se révéler à ce point borné. Pro Mac depuis toujours, avec des ordis sous Win , sous Linux et Mac et en me trouvant obligé de les utiliser professionnellement, j'étais objectivement plus attiré par le Mac... Donc personnellement j'ai eu des mac. Ce qui ne m'empêche pas de penser qu'à moins d'évoluer autrement Snow restera sur ma bécane. Ce qui ne m'empêche pas non plus de constater qu'en matière de perméabilité au virus et malwares, le mac est manifestement une passoire . Et ce faisant de me prémunir en conséquence en prenant les mesures ad-hoc. Chanter à tue-tête et sur l'air des lampions, et à plusieurs voix que ce n'est pas la réalité, c'est simplement la preuve que les sectes de tous poils pourront prospérer encore longtemps... Il y a des clients. Et dire que j'avais cru que c'était le fait des adeptes de Balmer...!? C'est pourquoi je t'admire. Tenter encore d'expliquer à des sourds et de montrer à des aveugles, c'est courageux. Moi je renonce, la C....... semble contagieuse. Allez, Bravo tout de même !
avatar jeanba3000 | 
Je n'ai pas bien suivi : ce [i]flashback[/i] n'affecte que les machines sous 10.7 ? Sinon pourquoi le programme d'éradication d'Apple est-il uniquement compatible avec ce système et pas les précédents ? Les autres puent du bec et peuvent aller mourir ailleurs ?
avatar hellok | 
Je ne comprends pas bien : je suis sous Lion 10.7.3, je n'ai pas installé Java, est-ce que je dois quand même télécharger l'outil de suppression de Flashback pour vérifier ?
avatar Kurby'S | 
@hellok : C'est préférable je pense.
avatar xDave | 
lol jeanba3000 !! On sait pas si ça affecte Java sous 10.5 (et antérieur) (Java pour PPC quoi)! Pas d'éradicateur pour 10.6! à ce propos [quote]Ce petit utilitaire est destiné aux machines équipées de Lion, mais [b]sur lesquelles Java n'était pas déjà présent[/b].[/quote] ça veut dire quoi ça? Je croyais que c'est une faille Java! Alors comment peut s'installer ce malware si Java n'est pas installé????
avatar Mabeille | 
@xDave ça veut dire comme le dit l'article qu'Apple aura certainement observé des machines infectées sans java dessus.
avatar liocec | 
Juste une question : qu'entendent-ils par "s'installer sans bruit" ? Si le malware s'installe sans besoin de taper son mot de passe, alors c'est hyper grave, autant dire que le système, via cette faille est totalement ouvert. Ce n'est pas pour faire peur, c'est juste que des tas de gens, moi y compris, on peut-être pris ce problème à la légère, pensant qu'il fallait aller sur un site "vérolé" et valider une installation pour chopper cette merde et comme on n'y va pas et qu'on est pas con, on pensait être à l'abris.
avatar nono1414 | 
bonjour je viens de l'installer sur imac 10.7.3 . il ne se passe rien , je n'ai pas java sur ma machine donc une question : dois-je le supprimer, il disparait tout seul?? merci de vos réponses
avatar Kurby'S | 
@nono1414 : Même question pour moi.
avatar G4lover | 
Si rien n'apparait , vous n'êtes pas infectés .
avatar Norbert75 | 
This Flashback malware removal tool removes the most common variants of the Flashback malware. If the Flashback malware is found, a dialog will be presented notifying the user that malware was removed. In some cases, the Flashback malware removal tool may need to restart your computer in order to completely remove the Flashback malware. This update is recommended for all OS X Lion users without Java installed.
avatar Florian Innocente | 
[b] je viens de l'installer sur imac 10.7.3 . il ne se passe rien , je n'ai pas java sur ma machine donc une question : [/b] C'est expliqué dans l'article, au début : pas de message, pas de malware.
avatar nono1414 | 
@innocente oui on n'est ok, mais faut il le supprimer après ou le laisser peut être pour rien sur la machine , cela n'est pas dit . merci pour vos réponses données et à venir
avatar Domsou | 
@xDave : Java n'est pas proposé par défaut sur Lion. Il peut néanmoins être installé par l'utilisateur si besoin. Donc il existe des machines sous lion avec Java installé : d'où cet outil.
avatar Jimmy_ | 
@liocec : c'est effectivement le premier gros avertissement sérieux sur Mac et ça n'est pas parti pour faiblir.
avatar travon | 
@liocec Si ce malware s'installe sans intervention de l'utilisateur, par définition ce n'est pas un trojan mais un virus nous avons donc a faire au premier virus sous OSX!!!!!!!!!!!!
avatar Kurby'S | 
@travon : Cf Leap A.
avatar pecos | 
@travon : non. Un virus se reproduit tout seul et s'installe vraiment sans aucune action de l'utilisateur (juste quend l'ordi démarre et se connecte à un réseau local, par exemple). Là, il faut quand même aller visiter volontairement certaines pages web, et le malware ne peut pas se reproduire tout seul.
avatar So Jazz | 
Donc moi, j'ai Java est j'ai installer la précédente mise a jour de Java (2012-003) proposer par Apple jeudi soir qui se charge de supprimer les différentes variantes du malware Flashback qui sévit sur des Mac!! Donc je dois pas lancer le nouvel outil présenter ce jour ? d'après ce qu'il y a d'écrit (je suis sous Lion) C Bien sa ??
avatar travon | 
@Kurby'S ""Leap-A is not a virus, it is malicious software that requires a user to download the application and execute the resulting file." Intervention utilisateur donc LeapA n'est pas un virus
avatar LeConcombreMaske | 
pfffff et toujours pas d'outil / d'utilitaire pour éradiquer le plus gros malware sur Mac : celui qui est assis en face de l'écran... :-°
avatar Kurby'S | 
@travon : Ça dépendait pour quelle société anti-virus à l'époque.
avatar Anonyme (non vérifié) | 
Ça m'inspire deux réactions : 1) cette histoire a le seul mérite de montrer à certains que le Mac n'est pas une citadelle, et que l'augmentation du nombre de MacUsers entraînera très probablement une augmentation du nombre de malwares 2) Chapeau Apple pour ceux qui sont en 10.6 [ça m'etonnerait que le malware n'affecte que 10.7, auquel cas je retire :) ]
avatar bibe40 | 
@So Jazz : oui puisque l'outil en question est inclus dans la mise à jour de java
avatar Marc Duchesne | 
En erradicant tous les fabricants d'antivirus etc.. on se débarasserait probablement de 95% de cette merde...
avatar free00 | 
J'ai toujours trouvé les virus inutiles. Vivement qu'ils disparaissent.
avatar Cowboy Funcky | 
HS : Très chiante cette pub sur Mac Gé qui simule une barre d'état avec un message en attente façon Facebook.....
avatar Cowboy Funcky | 
@marc duchesne : Dacodac !
avatar Steeve J. | 
@cowboy funcky : C'est vrai !!! Très chiante !!! En passant, pour reparler de la news j'ai bien aimé ce qu'ils ont écrits sur Mac4ever : "Apple réalisé là une très bonne opération de contre-communication vis à vis d'une presse qui semble s'être un peu emballée à propos de ce vrai-faux « virus » dont l'impact mondial semble avoir été largement exagéré."
avatar Kenikine | 
@cowboy funcky : +1 moi aussi je ne l'aime pas celle là ;-)
avatar shenmue_fan | 
A ce rythm Java ne sera plus installé par défaut.
avatar Malcolmm | 
@ innocente [14/04/2012 11:54] "je viens de l'installer sur imac 10.7.3 . il ne se passe rien , je n'ai pas java sur ma machine donc une question ": "C'est expliqué dans l'article, au début : pas de message, pas de malware." Je ne comprends pas vraiment le fonctionnement de cette appli , est-ce un anti-malware ou un genre de patch ? , par exemple aujourd'hui pas de problème mais dans un mois je chope le mamlware , elle agit en tâche de fond en protection , m'avertit de la présence du malware ou devrais je parfois la relancer et comment . Je suppose que cet outil ne marchera pas pour des variantes à venir et faudra t-il des maj ?
avatar Florian Innocente | 
@Steeve J. : En passant, pour reparler de la news j'ai bien aimé ce qu'ils ont écrits sur Mac4ever Ben moi j'ai un peu de mal à comprendre leur manière de traiter cette actu, vu que ça change selon les rédacteurs. Quand c'est didier qui écrit c'est "circulez y'a rien à voir", 3 jours plus tard quand Apple réagit et qu'Arnauld et Ergo prennent le relai, là subitement les titres des news passent en gras et en rouge, et de bien insister sur le fait qu'il faut absolument installer ces mises à jour. Et quand Didier reprend la suite aujourd'hui, c'est à nouveau sur l'air du : toussa c'est du pipeau. Une réunion de coordination s'impose… NB : je me souviens aussi Steeve J, que la semaine dernière tu trouvais qu'on en avait trop fait en consacrant une Une sur la question. Et boum, Apple a sorti plusieurs mises à jour peu après. Mais c'est sûrement pour occuper leurs ingé :-)
avatar Florian Innocente | 
[b] @Malcolmm : Je ne comprends pas vraiment le fonctionnement de cette appli , est-ce un anti-malware ou un genre de patch ? [/b] Non ce n'est pas une application à proprement parler, même si la phase d'installation donne cette impression. Je te renvoie au lien que j'ai donné dans la news et qui explique le fonctionnement (et en français) http://www.cnetfrance.fr/produits/l-outil-de-suppression-du-malware-flashback-decortique-39770726.htm#xtor=RSS-300021 Ca installe de petits programmes qui vont chercher la présence de ce malware et une fois supprimé, ces programmes disparaissent du système. Il n'y a donc pas quelque chose qui tourne en tache de fond. C'est comme une femme de ménage, elle vient une fois, elle nettoie et elle repart.
avatar Kurby'S | 
@innocente : Certaines femmes de ménage restent aussi ;)
avatar Anonyme (non vérifié) | 
J'ai fait la mise à jour l'autre fois sur snow Leopard. Le Mac n'a rien détecté alors que virusbarrier a trouvé un trojan.
avatar xDave | 
@Mabeille Relis ce que j'ai mis. Si c'est une Faille Java ET que Java n'est pas installé, comment peut-on chopper cette m3rde? à moins de l'avoir volontairement downloadé, ou d'avoir copier une application vérolée depuis un autre Mac je vois pas, là. Où alors ça n'est [b]pas qu'[/b]une faille Java. Ma question est plus claire? @domsou Pareil. Faut savoir, c'est pour tester une machine où Java est installée ou pas? [quote]Apple aura probablement observé des scénarios dans lesquels une machine peut être infectée sans forcément le concours de Java.[/quote] Oui merci, donc lesquels? Et comme dit jeanBa3000 en ouverture, et en 10.6 on pue du bec?
avatar Lucieaus | 
D'après F-Secure, le malware Flashback.K qui a infecté les 600 milliards de Macs réclame bien un mot de passe http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_k.shtml
avatar Kurby'S | 
@Lucieaus : 600 milliards ?!

Pages

CONNEXION UTILISATEUR