Flashback : Office 2004 et utilitaire de détection

Florian Innocente |
Le blog d'OfficeforMacHelp se fait l'écho de problèmes de plantages d'Office 2004, liés à la présence chez certains utilisateurs du malware Flashback.K. On se souviendra que l'utilisation d'Office sur sa machine (ainsi que de Skype) était justement une forme d'assurance contre l'installation de ce malware (lire Malware : Flashback évolue à nouveau). En effet, en voulant se greffer sur ces logiciels en particulier il courrait le risque de les faire planter et d'éveiller l'attention de l'utilisateur. Le malware préférait alors se supprimer de lui-même plutôt que d'aller plus avant.

Cependant, il ne vérifiait que la présence des versions 2008 et 2011 d'Office Mac, pas cette 2004… F-Secure a par ailleurs actualisé la liste des applications que ce malware cherche avant de poursuivre éventuellement son installation. Sans surprise, ce sont à quelques exceptions près des antivirus :

- VirusBarrier X6
- AntiVirus
- Avast
- ClamXav
- HTTPScoop
- Packet Peeper
- XCode
- LittleSnitch

OfficeforMacHelp renvoie aussi vers un petit utilitaire mis au point par les éditeurs de Real Studio Developer et qui vérifie si ce malware est installé [1,4 Mo]. En revanche il ne le désinstalle pas.

Il appose en fait une interface sur trois commandes Terminal à saisir l'une après l'autre et qui cherchent la présence de fichiers placés par ce malware. Si la réponse fournie par le Terminal est négative à chaque fois, il n'y a pas lieu de s'inquiéter.

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

F-Secure avait donné il y a quelques jours des instructions pour supprimer ce malware, elles sont résumées par CNET. Rappelons que ce malware profitait d'une faille de sécurité dans Java, bouchée en début de semaine et que Java, comme Flash avant lui, n'est plus fourni dans Lion, il faut l'installer manuellement.

Sur le même sujet :
- Nouvelle mise à jour Java pour OS X
- Flashback : 600 000 Mac infectés ?
avatar hartgers | 
Et si on n'utilise ni Firefox, ni Safari ? Le risque est nul ? Pourtant il s'agit d'une faille Java, non ?
avatar HImac in touch | 
Même interrogation, j'avais cru comprendre que seul Safari était touché par ce "virus"...
avatar Anonyme (non vérifié) | 
Le détecteur est "intel only", dois-je en déduire que le cheval de troie ne touche pas les power PC ?
avatar Feroce | 
Malheureusement non. Il faut juste en conclure qu'Apple n'en a rien à foutre des PPC. Il est même possible qu'ils ne sachent plus ce que c'est.
avatar Pascal 77 | 
[quote=Feroce]Il faut juste en conclure qu'Apple n'en a rien à foutre des PPC.[/quote] Remarque stupide, vu que le détecteur en question n'a rien à voir avec Apple, RSDevelopper n'en a rien à faire des PPC, c'est eux qui l'ont fait, faudrait un peu arrêter de tout foutre sur le dos d'Apple (même si 6 ans après la sortie des derniers modèles PPC, il est légitime qu'Apple ne s'y intéresse plus trop). Cela dit, n'ayant qu'un seul Mac Intel et 6 PPC à la maison, j'ai pu faire le tour des machines en moins de 20 minutes avec l'utilitaire sur mon MBP, et en tapant trois lignes de code que j'ai copié, puis collé via un extrait dans le terminal de chacun de mes PPC.

CONNEXION UTILISATEUR