Fermer le menu

cheval de troie

Toute l'actualité sur cheval de troie

Apple bloque le dernier cheval de Troie connu

| 23/09/2013 | 22:28 |  

OSX/Leverage.A, c’est le doux nom du dernier cheval de Troie (trojan) pour OS X repéré par Intego la semaine dernière (lire : Un nouveau cheval de Troie sur Mac à la menace faible). Comme toutes les autres menaces de son genre, son objectif est de créer une porte dérobée sur le Mac pour exécuter des commandes à distance. Celui-ci prenait la forme d’une application cachée sous la forme d’une image… l’occasion de rappeler qu’il ne faut pas ouvrir aveuglément des fichiers dont vous ignorez l’origine.

La menace de ce trojan était très limitée — il ne concernait que les utilisateurs sous OS X Lion ou avant et le serveur qui devait envoyer les commandes n’a jamais été en ligne —, mais Apple l’a bloqué automatiquement. Le fichier Xprotect.plist qui liste tous les chevaux de Troie pour les empêcher de nuire a été mis à jour et il contient désormais la nouvelle référence.

Seule précaution à prendre, vous assurer que vous avez activé les mises à jour automatiques de ce fichier. Ouvrez les Préférences Système, puis le panneau Sécurité et vérifiez que l’option "Mettre à jour automatiquement la liste de téléchargements sûrs" est cochée. Sur OS X Mountain Lion, cette option se trouve dans le panneau Sécurité et confidentialité, puis dans le volet "Avancé" (il faut le mot de passe administrateur pour y accéder).

> Accéder aux commentaires

Trojan Yontoo : Apple a mis à jour Xprotect

| 22/03/2013 | 20:29 |  

Apple a mis à jour l'anti-malware d'OS X Xprotect pour bloquer le cheval de Troie Yontoo, a noté Intego. Cet adware qui vient se greffer aux navigateurs sous la forme d'une extension avait été révélé cette semaine (lire : Sécurité : Trojan.Yontoo.1 sévit sur Mac). Il place des publicités sur les pages web visitées.

Pour vérifier quand Xprotect a été mis à jour pour la dernière fois, il faut taper cette commande dans le terminal :

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

Pour forcer la mise à jour, il suffit de décocher puis cocher la case Mettre à jour automatiquement la liste de téléchargements sûrs du panneau Avancé de la section Sécurité et confidentialité des Préférences système.

> Accéder aux commentaires

Sécurité : Trojan.Yontoo.1 sévit sur Mac

| 21/03/2013 | 15:45 |  

L'éditeur de logiciel de sécurité Dr. Web révèle l'existence d'un nouveau cheval de Troie sur Mac baptisé « Trojan.Yontoo.1 ». Le nombre de logiciels malveillants sur OS X aurait augmenté depuis le début de l'année, déclare par ailleurs l'éditeur.

Yontoo est un adware (ou publiciel) qui vient se greffer aux navigateurs (Chrome, Firefox et Safari) sous la forme d'une extension. Pour parvenir à faire installer cette extension malicieuse aux utilisateurs, les personnes malintentionnées mettent par exemple en place des sites web où l'utilisateur est invité à installer un plug-in pour lire une vidéo. Une boîte de dialogue qui imite celle des navigateurs propose alors de télécharger l'extension qui se trouve être un cheval de Troie. La technique est des plus classiques, mais elle peut fonctionner auprès des personnes les moins attentives.

Une autre possibilité consiste à faire télécharger à l'utilisateur une application qu'il croit sûre (un lecteur vidéo, un gestionnaire de téléchargement...), mais qui contient en fait Yontoo. Une fois l'application installée, Yontoo est présent dans les navigateurs comme une extension.

L'extension envoie alors les informations de navigation à un serveur externe. En retour, celui-ci lui transmet un fichier pour intégrer du code dans les pages visitées. L'éditeur illustre le résultat avec le site d'Apple : Yontoo affiche de la publicité qui n'est normalement pas présente. Le but étant pour les personnes malveillantes de s'enrichir avec ces pubs.

Sur le même sujet :
- Sécurité : l'intenable défi

> Accéder aux commentaires

Trojan.SMSSend.3666 : un installeur qui veut vous faire les poches

| 12/12/2012 | 00:03 |  

Trojan.SMSSend.3666 est un nouveau cheval de Troie pour Mac qui reprend une recette bien connue sous Windows : berner l'utilisateur lors de l'installation d'un logiciel.

Repéré par Doctor Web, ce malware vous promet sur le papier d'installer VKMusic 4, une application permettant d'écouter de la musique depuis un réseau social qui connaît un certain succès en Russie.

Au moment d'installer ce logiciel, l'installeur vous demande d'insérer votre numéro de téléphone portable afin d'activer le logiciel. Il vous faudra répondre à ce SMS afin d'obtenir le code d'activation en question.

Le tour est joué pour ainsi dire. En répondant à ce SMS, vous avez dépensé quelques euros alors que le logiciel en question est gratuit. C'est le premier cheval de Troie de ce genre sur Mac. Nul doute qu'il devrait proliférer avec d'autres applications plus connues dans les semaines à venir.

> Accéder aux commentaires

BackDoor.Wirenet.1 : un nouveau cheval de Troie sur Mac

| 04/09/2012 | 06:00 |  

L'éditeur de logiciel de sécurité Dr.Web dit avoir repéré un cheval de Troie qui officie sur Linux et OS X. BackDoor.Wirenet.1, c'est son nom, est une backdoor qui créé « au lancement, sa copie dans le dossier utilisateur ». « Le programme utilise l'algorithme AES pour communiquer avec le serveur distant dont l'adresse est 212.7.208.65 », détaille l'éditeur qui fut le premier à alerter de l'ampleur de l'infection de Flashback, un autre cheval de Troie, au printemps.

BackDoor.Wirenet.1 sert également de keylogger et peut voler les mots de passes entrés dans Opera, Firefox et Chrome, ainsi que les mots de passes stockés dans des applications comme Thunderbird, SeaMonkey et Pidgin, précise l'éditeur. Les autres fournisseurs de logiciels de sécurité n'ont pas communiqué sur ce cheval de Troie.

> Accéder aux commentaires

Le cheval de Troie Flashback (presque) de retour sur Mac

| 22/02/2012 | 09:15 |  

Intego a découvert de nouvelles variantes du cheval de Troie Flashback, qui avait touché les Mac à l'automne. Alors que les précédentes versions avaient pris la forme d'un installeur de Flash, la nouvelle profite de deux failles de Java pour présenter à l'utilisateur un certificat se faisant passer pour un certificat signé par Apple. L'utilisateur peu méfiant cliquera et sera infecté sans même avoir entré son mot de passe. La porte dérobée Flashback sera alors installée.

Il faut néanmoins noter que depuis OS X 10.7 Lion, Java n'est plus installé par défaut. Les versions les plus récentes d'OS X ont de plus bouché les deux failles exploitées par ce cheval de Troie. Seuls les utilisateurs de versions plus anciennes sont donc potentiellement exposés à un risque de sécurité.

> Accéder aux commentaires

DevilRobber revient à la charge

| 21/11/2011 | 11:20 |  

On croyait s'être défait du Cheval de Troie DevilRobber.A depuis qu'Apple a mis à jour XProtect (lire DevilRobber.A ne fait plus peur à Mac OS X), mais son innocuité n'aura été que de courte durée puisqu'une nouvelle version rôde sur les réseaux d'échange de fichier.

Les chercheurs de F-Secure ont en effet repéré une troisième version du Cheval de Troie. Celle-ci n'intègre pas les données à installer, mais les télécharge depuis un FTP. En revanche, elle ne vérifie pas la présence préalable de Little Snitch, qui peut donc vous alerter en cas d'activité suspecte, et ne prend plus de capture d'écran. Cependant elle récupère l'historique des commandes du terminal, les fichiers log du système, et les contenus de 1Password, qui centralise des données souvent sensibles pour les utilisateurs. Elle intègre toujours la capacité de voler l'argent stocké en devise virtuelle Bitcoin (dont les serveurs ont par ailleurs été hackés en juin).

Rappelons que la méthode de propagation de ce malware est de reposer sur la confiance aveugle des utilisateurs qui l'installent d'eux-mêmes, en se faisant passer pour autre chose (en l'occurrence un faux Pixelmator, distribué sur les réseaux de partage illégal). Voilà une motivation supplémentaire à ne pas pirater de logiciels, s'il en fallait, et à préférer les canaux de distribution officiels et de confiance.

> Accéder aux commentaires

Le trojan DarkComet RT en cours de portage sur Mac

| 28/02/2011 | 00:06 |  

SophosLabs a détecté une variante du cheval de Troie DarkComet RT pour Mac. Selon la société de sécurité, ce trojan est encore en plein développement et ne devrait donc pas être déployé immédiatement.

Pour l'instant, la déclinaison de DarkComet RT, qui se nomme OSX/MusMinim-A., permet sur un Mac infecté de placer des fichiers texte sur le bureau, de redémarrer, d'éteindre ou de mettre en veille l'ordinateur, d'exécuter des commandes shell, d'afficher un message en plein écran invitant l'utilisateur à redémarrer, d'envoyer une URL au client ou encore d'afficher une fausse fenêtre d'authentification afin d'obtenir le mot de passe de l'administrateur.

DarkComet RT est un cheval de Troie très connu sur Windows. Doit-on y voir un signe d'un intérêt grandissant de notre plate-forme pour les hackers ? SophosLabs s'attend à ce que OSX/MusMinim-A soit surtout présent sur les sites de torrent ainsi que sur les sites proposant au téléchargement des logiciels piratés.

> Accéder aux commentaires

10.6.4 : une définition de "virus" ajoutée

| 18/06/2010 | 12:48 |  

Apple a ajouté une troisième définition de logiciel malveillant au détecteur intégré dans Snow Leopard. Depuis cette version, Mac OS X s'est doté d'un outil pour repérer de telles nuisances. La collection d'importuns capables d'être interceptés par le système est réduite, elle était de deux, elle est passée à trois après la mise à jour 10.6.4

snowleopardalertemalware
Message d'alerte type

Intego avait le premier identifié cet intrus en avril dernier, baptisé HellRTS. C'est cette référence que l'on trouve dans le fichier des définitions de Mac OS X (situé ici : System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist).

Ce malware, une fois en place sur la machine, peut émettre des courriers avec son propre serveur de mail, contacter un serveur distant, ses dupliquer, se lancer au démarrage, éteindre la machine, activer le partage d'écran, etc.

Toutefois, Intego dit ne pas avoir observé d'utilisations de ce logiciel, au-delà d'une distribution sur les forums spécialisés. Apple a néanmoins choisi apparemment de prémunir son système de ses éventuels agissements.

Sur le même sujet :
De nouveaux détails sur l'antivirus de Snow Leopard
Snow Leopard a bien un anti-virus intégré

> Accéder aux commentaires

Symantec : un cheval de Troie dans un jeu

| 04/11/2009 | 21:15 |  

Les dangers du jeu seraient multiples, et l'éditeur de logiciels de sécurité Symantec en a trouvé un nouveau pour les Mac : un cheval de Troie déguisé en jeu vidéo s'attaquerait à nos machines. Ce trojan, baptisé OSX.Loosemaque, ressemble à un jeu du type Space Invaders. Mais à chaque fois que vous détruisez un ennemi, c'est un fichier de votre ordinateur qui est supprimé.

Selon le développeur de ce logiciel, sa démarche est « artistique », chaque vaisseau alien représentant un de vos fichiers. Si vous perdez en ne détruisant aucun vaisseau et donc aucun de vos fichiers, le jeu devrait même se supprimer lui-même, même s'il semble qui crashe à cette étape. Sur son site, le créateur de ce logiciel indique précisément que son jeu détruit vos fichiers.

Mais comme rien n'empêcherait un petit malin de reprendre ce code pour en faire un outil plus ouvertement malsain, Symantec a préféré le classer comme cheval de Troie. La démarche, assez nouvelle, permet de rappeler encore une fois à quel point il est important de ne pas télécharger n'importe quoi n'importe où.

> Accéder aux commentaires

Pages