Malware : Flashback s'attaque à l'XProtect d'OS X

Florian Innocente |
F-Secure rend compte d'une évolution intéressante du trojan Flashback, ce dernier prenait la forme d'un installeur de Flash pour se glisser dans le système (lire Un cheval de Troie déguisé aux couleurs de Flash).

F-Secure qui décrit le mode opératoire pas à pas, Flashback s'attaque maintenant à XProtect dans OS X. Ce module contient les références des trojans et autres malwares jugés suffisamment sérieux par Apple pour être signalés à l'utilisateur lorsqu'il télécharge un fichier.

Flashback va stopper le deamon de XProtect qui tourne en tâche de fond et assure ce service de veille. Puis il désactive sa fonction de mise à jour automatique qui récupère les nouvelles définitions de trojans envoyées par Apple. Cette tactique visant à défaire les défenses de l'adversaire est classique dans le monde des malwares rappelle F-Secure.

Sur le même sujet :
- Astuce : vérifier la date de mise à jour d'XProtect dans Mac OS X
Tags
avatar nayals | 
Flashback est-il référencé dans XProtect ?
avatar Ielvin | 
Il l'est mais la nouvelle version vise à désactiver l'action de X protect
avatar mirando | 
Ben Flash est comme un virus :-) l'utilisateur devrait se méfier.
avatar PierreBondurant | 
Ca devient un peu plus technique les malwares sur OS X... Reste a voir la réponse d'apple
avatar hadrien01 | 
@showmehowtolive : Lors de l'installation, il demande un accès sudo (super admin) à l'utilisateur.
avatar zazeur | 
Hum j'ai eu un "installateur Flash" il y a 1-3 jours. Comment savoir si c'était Flashback ou pas ? Edit : Apparemment il s'agit d'un installateur de type classique : http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_c.shtml Or j'avais bien eu l'installateur Flash "petit". Edit 2 : Cela dit, comment être sur ? Je ne vois pas xprotect.
avatar Lucieaus | 
Oula, mais c'est qu'elles deviennent de plus en plus agressives les saloperies qui débarquent sur Mac. (je parle des virus et autres, bien entendu, pas des switcheurs, vous l’aurez compris)
avatar ToCo | 
@Lucieaus : LOL
avatar Switcher | 
La règle, c'est : toujours passer par le site d'Adobe ou ses partenaires (sites sûrs, MacUpdate, MacGé, etc.). Toujours envoyer à la poubelle les "téléchargements forcés". Tou-jours.
avatar EBLIS | 
Moi je vous conseille d'installer Microsoft Security Essentials... Pour faire croire à flashback qu'il s'est trompé de cible et qu'il est sur windows... D coup...demi tour...
avatar Faabb | 
Zazeur, il me semble que dans les premieres versions de Flasback (source integp), l'installateur ne se lance que chez les personnes qui n'ont pas installé flash. Est-ce toujours le cas?
avatar zazeur | 
@Faabb, pas bien compris. J'avais déjà Flash avant, mais j'ai du "mettre a jour" il y a moins d'une semaine. Or je ne sais pas s'il s'agit bien d'une maj ou de 'flashback' :/
avatar XiliX | 
Aaahhh FlashBack sur mon Amiga A1200....
avatar misc | 
@faab Je pense que ce "troyan" s'en contre fiche que t'ai flash d'installé..
avatar subsole | 
Bonjour, Flashback n'est pas un virus ( Un virus s'installe seul, se reproduit seul, le tout à l'insu de l'utilisateur). Là, clairement c'est un bug de l'utilisateur, qui pense que le net est le pays des Bisounours et donne son MDP administrateur à n'importe qui. Feriez -vous la même chose avec votre CB ? Que ceux qui ont dit oui m'envoient leurs N°de cartes et code, merci. ^^ Plus sérieusement, quelques basiques: Il faut impérativement télécharger le Plug Falsh depuis le site officiel c. à d. chez Adobe, chose évidente qui ne semble pas l'être pour tous. Lorsque vous êtes sur la toile, si un quelconque site vous réclame une MàJ du Plug ou un quelconque téléchargement de Plug, ne le téléchargez pas depuis ledit site, mais passez par le site officiel Adobe. Ceci est d'ailleurs valable pour toutes installations de Plugs ou d'applications. Ne téléchargez aucun antivirus depuis un site qui prétend avoir détecté un virus sur votre Mac. La protection idéale existe, c'est [i]JeRéfléchi 1.0[/i] :p
avatar Charger_RT | 
@subsole : + 10 Si les utilisateurs étaient plus méfiants, il y aurait moins de soucis !
avatar apenspel | 
Ouais mais si on était plus paranos, on aurait beaucoup plus de soucis. Le juste mot, c'est " attentif ". ;)
avatar RLP2 | 
Je viens d'installer une mise à jour Flash conseillée spontanément lors de la navigation sur Safari. Espérons qu'elle venait bien d'adobe...
avatar Le principe ignoto | 
Pour vérifier si vous avez été infecté par Flashback.C (qui s'installe dans Safari et/ou dans Firefox), il faut lancer le Terminal et taper les commandes suivantes : defaults read /Applications/Safari.app/Contents/Info.plist LSEnvironment defaults read /Applications/Firefox.app/Contents/Info.plist LSEnvironment Si vous voyez la chaîne de caractères "DYLD_INSERT_LIBRARIES" suivie d'un chemin, vous avez été infecté : mettez Safari et/ou Firefox à la poubelle et réinstallez-les par une version propre récupérée chez Apple ou Mozilla. Si vous voyez un message "The domain/default pair of (Applications/Safari.app/Contents/Info.plist, LSEnvironment) does not exist" ou "The domain/default pair of (Applications/Firefox.app/Contents/Info.plist, LSEnvironment) does not exist", vous êtes tranquille...
avatar Le principe ignoto | 
[b]Remplacez-les[/b], pas [b]réinstallez-les[/b] par une version propre ! Ou plutôt "remplacez-les en réinstallant etc."...
avatar zazeur | 
Ok j'avais bien cherché "LSEnvironment ..." et je n'avais rien vu. Donc c'est bon ;)
avatar pierrot99 (non vérifié) | 
Et dans le genre "je réfléchis": est-il sage de taper dans son terminal des commandes (absconses pour le commun des mortels) proposées par un inconnu dans un forum … qui me dit que "Le principe ignoto" n'est pas l'auteur de FlashBack ?
avatar T Ki | 
@pierrot99 C'est clair tu ne devrais jamais taper de ligne de commande que tu ne comprends pas. Mais bon, là les commandes de principe ignoto sont sans aucun danger ça demande simplement de lire dans les Info.plist de Safari et Firefox si ça trouve "LSEnvironment" qui est une partie du code qu'ajoute Flashback.

CONNEXION UTILISATEUR