Mac Defender : nouvelle méthode d'installation

Florian Innocente |
Une nouvelle variante du faux antivirus Mac Defender est en circulation affirme Intego. L'objectif est le même - soutirer les infos de carte de crédit de l'utilisateur - mais le changement concerne la procédure d'installation qui ferait abstraction de toute demande de mot de passe à l'utilisateur.

Intego explique qu'un installeur est récupéré automatiquement lors de la visite d'un site malicieux. Ce fichier, prenant la forme d'un package d'installation, est baptisé avSetup.pkg. Pour peu que Safari soit réglé pour ouvrir automatiquement les fichiers sûrs (Préférences, panneau Général), cet installeur affiche la fenêtre standard de Mac OS X. À ce stade, Intego affirme qu'aucun mot de passe administrateur n'est demandé. Habituellement, sauf pour les applications s'installant par glisser-déposer, un mot de passe admin est toujours réclamé. Cette étape mériterait plus d'éclaircissements.
http://static.macg.co/img/2011/4/macguardsetup-20110525-221351.jpg
Une application baptisée avRunner est donc installée, elle se lance automatiquement et télécharge l'application Mac Guard depuis un serveur, tandis que le fichier téléchargé à l'origine s'efface de lui-même. Le reste est connu, le soi-disant antivirus va détecter plusieurs virus sur la machine et proposer de les éradiquer moyennant l'achat en ligne de la version complète (lire aussi Repérer et désinstaller les faux antivirus Mac).

Apple a publié une note hier affirmant que la prochaine mise à jour de Mac OS X saurait détecter le téléchargement de ces intrus et les supprimer s'ils étaient en place. Le mode d'action ayant visiblement changé, il est à voir si cela sera efficace. Un autre détail, on a pu constater que les liens de téléchargement de ce faux antivirus pouvaient a posteriori être bloqués par Google. Celui utilisé pour l'article sur la manière de les désinstaller, et qui passait par une recherche sur Google Images, pointe maintenant sur un message d'alerte.

http://static.macg.co/img/2011/4/googlestop-20110525-221814.jpg

Sur le même sujet :
Apple va s'occuper du malware Mac Defender

avatar gvfutureofcomputing | 
Aaaa bande de rogolot informaticien en herbe se virus se balade sous Windows et Vista j'ai tout fait pour le enlever impossible il a même boquer neutraliser mon anti virus le plus simple et plus propre re formater le pc LOL mdr bande ti rigolo Cher Mac appel
avatar robertodino | 
Merci pour ce test Macgé. J'étais a la recherche d'un antivirus pour mon iMac. Je viens d'installer ce SOFT sur mon MBA et iMac, j'attends le mail de confirmation pour activer ma clé. Je teste et je vous tient au courant (ouhhhh il semble y avoir un virus là...) :-))))))))
avatar lolpop | 
@robertodino LOL!!!
avatar Elcos | 
est-ce qu'il n'y a pas un moyen en inspectant le code de cette ***** de voir ou sont envoyées les données? pour remonter à la source et tomber sur le pirate, le malware doit bien envoyer tout ça à une adresse IP ou quelque chose qui pourrait permettre l'identification, non?
avatar simon_pr | 
Au mec qui a répondu en premier (avec précipitation)
avatar simon_pr | 
Tu pourrais insulter les gens en français, histoire qu'on comprenne...
avatar robertodino | 
@Elcos Selon Anonymous non...
avatar McDummie | 
Comment c'est possible qu'il s'installe SANS le mot de passe ? Je croyais que c'était impossible...
avatar bigham | 
@McDummie: N'importe quoi peut étre installé sur un Mac OS X à condition que les privilèges requis sont possédés par l'utilisateur qui lance l'installation. Par exemple, rien n'empècherait d'installer une application dans ton dossier Maison si c'est toi qui réalise l'installation. Pour effacer tes fichiers, il n'y a pas besoin d'être root ou admin, il suffit que ce soit toi qui ait lancé l'application qui va les effacer.
avatar Boumy | 
Et que fait Little Snitch?
avatar liocec | 
@ McDummie : C'est là l'astuce, le logiciel-virus ne parcours pas réellement le disque, il ne va accéder qu'à des zones "public" (aucune système). Ensuite pour l'accès au domaine "privé" (num de CB...) c'est encore une fois l'utilisateur entre le siège et l'ordinateur qui ouvre les portes !
avatar vincentbls | 
@ gvfutureofcomputing : Pardon mais ??
avatar Macbeth | 
En fin de compte, le virus c'est pas le programme c'est l'utilisateur naïf. Nan mais c'est pas des blagues qu'il y a vraiment des gens qui installent ce truc et qui croient ensuite a tout ce bazar ?? Nan parce-que là y a danger non ? Je sais pas c'est des gens qui doivent pouvoir plonger leur main de un mixer en marche pour attraper leur manger. Dites moi que c'est pas sérieux !
avatar BeePotato | 
@ macbeth : « Nan parce-que là y a danger non ? » Si tu veux te faire peur, dis-toi que ces mêmes personnes si naïves sont aussi des électeurs… ;-)
avatar grogeek | 
@Elcos Meme pour traquer la pédopornographie, les autorités Suisse n'ont pas pu franchir ni la barrière Russe, ni la chine il y a 2 ou 3 ans sur une grosse affaire internationale. Alors crois-tu vraiment que pour un truc comme ça nos institutions vont pouvoir réellement faire quelque chose si justement la source se trouve dans cette partie du monde...
avatar dezmob | 
Notre plateforme serais t-elle donc aussi vulnérable (voir plus) que Windows? (dans le sens ou Microsoft a l'habitude de côtoyer les virus)
avatar Un Vrai Type | 
@dezmob : Ca dépend plus de ton niveau de culture informatique que de ta plateforme...
avatar dezmob | 
@ Un Vrai Type : Aparament non, le programme semble exploiter une faille qui lui permet de récupérer les mot de passe admin. La culture en informatique ne peut rien contre ça. Si ce code est injecter dans une page web, n'importe laquelle, si il y a une faille béante dans le système, même un utilisateur averti ni pourras rien. Après bien sure, il faut faire attention aux site qu'on visite, mais ça c'est déjà vu, qu'un site tout a fait légitime se fasse pirater pour injecter du code malicieux a l'intérieur. La plate forme Mac sera de plus en plus sujet a ce genre de menace, j'espère qu'apple sauras faire face et protéger son système ( et être PLUS réactif sur le deploiment des correctifs de sécurité parceque aujourd'hui c'est loin d'être le cas...)
avatar daunskilled | 
et pourquoi pas lui baiser la gueule lui fermant les écoutilles avec little snitch ? rien n'entre et rien ne sort. Je suis pas expert, mais ça peut être un début :)
avatar dark.tonin | 
ARRRGGGHHHH !!! Je viens tout juste de tomber dessus :( Il est rapide le bougre, le temps que je comprenne ce qu'il ne passe et que je quitte safari (pourtant ca m'a pris que quelque instant), il l'avait déjà téléchargé trois fois et ouvert "l'installateur". D'où ma question (pour me rassurer): si le fichier s'ouvre automatique mais que l'on quitte de suite sans rien installer et que l'on balance tout a la poubelle, est ce que ce virus peut quand même se retrouver sur l'ordi ? Quelle salo****, c'est vraiment le "dark side" de l'informatique ce genre de truc. Merci pour l'aide (et pour rassurer un macuser angoissé)
avatar ScotchE | 
@dezmob : la récupération d'un fichier sur une page de téléchargement n'est pas vraiment une faille, c'est même la base de la récupération de programme. On ne peut vraiment pas parler d'injection de code dans ce cas là. En lisant attentivement la news, on navigue franchement dans le flou, entre les "il semblerait", les "si" les actions volontaires de l'utilisateur nécessaires pour valider l'installation et enfin les demandes d'informations bancaires cela laisse quand même largement le temps de se rendre compte que l'on est en train de faire une bêtise. Pour moi ce programme ressemble beaucoup plus à un piège à con qu'à un virus. En plus il ne se réplique pas tout seul sur les postes connectés à internet ou au réseau interne...
avatar dezmob | 
@ ScotchE : C'est vrai que la news est pas claire... Alors quel est la réel différence entre cette nouvelle menace et le Mac défender d'y a 3 jour?
avatar dezmob | 
Aux utilisateurs Mac: Désactiver: exécuter automatiquement les fichier telecharger dans les prefs de Safari.
avatar Almux | 
Au pire, ce truc ne va infecter "que" la session en activité, non? Donc, si c'est bien cela, il suffit de faire la chose la plus élémentaire: ne jamais surfer en mode root admin.
avatar Anonyme (non vérifié) | 
Bien sûr que ça existe des utilisateurs comme ça, et je dirai même qu'une grande partie est comme ça. On est une minorité a se poser des questions, à s'informer sur l'os, les risques, et honnêtement, peut-on vraiment en vouloir à ces personnes ? D'autant qu'on leur dit de plus en plus qu'ils sont en sécurité, que mac est protégé, que windows 7 avec un antivirus est protégé, etc... Après c'est le revers de la médaille. Apple et d'autres veulent faire des systèmes toujours plus simples, en supposant que le besoin de se former à l'usage de l'outil informatique est une tare à proscrire, et qu'on devrait se servir d'un ordinateur comme d'une machine à laver. Plus on aura d'utilisateurs infantilisés, plus ces malwares et ces arnaques pulluleront. J'espère juste que ca n'incitera pas d'autres connards à fouiller les failles du mac.
avatar xatigrou | 
Quelle idée d’exécuter automatiquement les fichiers téléchargés ! Le simple fait qu'une option comme ça soit disponible dans les préférences soit disponible me laisse dubitatif. Il me semble que ça ne le fait pas sous Chrome mais je m'empresse d'aller vérifier...
avatar pao2 | 
Bonjour, si on enlève la croix dans les préférences de Safari (onglet général): Ouvrir automatiquement les fichiers fiables. l'installeur du faux antivirus est simplement sauvegardé sur le mac, il ne s'installe plus. Donc problème résolu! Ou j'ai raté quelque chose?
avatar xatigrou | 
Ben mince, ça le fait dans Chrome aussi dis donc !
avatar iBook 68 (non vérifié) | 
Arfff Mac Defender est déjà installé chez Macgé, y'a un virus là au début des commentaires, gvfutureofcomputing que ça s'appelle, ça cause même pas français...
avatar Switcher | 
@gvfutureofcomputing Hahahahaha… Same player shoots again.
avatar Steeve J. | 
En fait on appele ça des CRAPAWARE !!!
avatar Anonyme (non vérifié) | 
Mon épouse vient de se voir confronter à ce fléau et le plus troublant est que dans l'adresse s'affichent dans la barre d'adresse de Firefox, mon mot de passe apparaissait en clair alors que mon épouse ne le connait pas !!!!!!! N'y a t il pas là un gros souci de sécurité ? Je ne veux pas le changer à distance car je veux le faire sans connection internet active et je le changerai ce soir mais tout cela est trés troublant. D'autres ont ils remarqué cela ?
avatar Orus | 
Installation sans mot de passe ? Donc OS X n'est plus du tout sûr, contrairement à ce qu'affirme certains ici. Les autres font de l'humour, une façon de se détendre sans doute.
avatar BeePotato | 
@ xatigrou : « Quelle idée d’exécuter automatiquement les fichiers téléchargés ! Le simple fait qu'une option comme ça soit disponible dans les préférences soit disponible me laisse dubitatif. » Il n’existe pas d’option pour [u]exécuter[/u] les fichiers téléchargés. Il s’agit d’une option pour [u]ouvrir[/u] automatiquement ces fichiers. Cela ne concerne évidemment que les types de fichiers ne contenant pas de code exécutable (bien que de temps, une faille soit trouvée dans l’un ou l’autre format de fichier permettant une exécution de code). Pour les fichiers contenant du code exécutable, leur ouverture (manuelle) après téléchargement provoque l’affichage d’un dialogue de confirmation. Dans le cas présent, même avec activation de cette option d’ouverture automatique des fichiers dits « fiables », rien n’est exécuté ni installé automatiquement : le seule chose que cette option fait, c’est que le paquet d’installation est ouvert automatiquement par le programme d’installation de Mac OS, n’attendant plus qu’une confirmation de l’utilisateur pour faire l’installation. Mais le programme d’installation de Mac OS n’exécute pas de code issu de ce paquet et ne procède à aucune installation avant d’avoir reçu une confirmation de l’utilisateur.
avatar BeePotato | 
@ orus : « Installation sans mot de passe ? Donc OS X n'est plus du tout sûr, contrairement à ce qu'affirme certains ici. » En quoi une installation sans mot de passe est-elle non sûre ? Une installation de fichiers dans l’espace disque accessible à l’utilisateur courant en écriture est parfaitement normale et une opération courante sous Mac OS (le plus souvent par glisser-déposer, mais c’est aussi tout à fait réalisable via n’importe quel programme d’installation). Ça ne représente en rien un problème de sécurité, à partir du moment où cette installation ne peut se faire qu’en ayant été validée par l’utilisateur. Ce qui est le cas ici.
avatar liocec | 
@ dezmob : +1 D'ailleurs je ne comprends pas qu'une telle option existe sur safari ou tout autre navigateur : un gain de temps minime pour une prise de risque maxi !

CONNEXION UTILISATEUR