Repérer et désinstaller les faux anti-virus Mac

Florian Innocente |
http://static.macg.co/img/2011/4/macprotectorabout-20110523-143902.jpg

Depuis une vingtaine de jours, un faux anti-virus pour Mac se promène sur le web et sur les machines de certains utilisateurs. Des derniers jours encore des lecteurs nous ont dit y avoir été confrontés. Il est bon de refaire un point sur le sujet et sur la manière de se débarrasser de cet importun.

Un virus ou un anti-virus ?
Précision indispensable, on ne parle pas ici d'un virus. Baptisé selon les cas MacDefender, MacSecurity ou encore MacProtector ce logiciel se fait passer pour un anti-virus. Il a été repéré le 2 mai dernier par Intego sous le nom de MacDefender, mais au fil du temps il se présente sous d'autres appellations.

Son objectif est de vous faire croire que votre machine est infectée et de vous amener, volontairement, à acheter en ligne la version complète du logiciel, seule capable de traiter les virus prétendument découverts. Il y a tromperie, mais l'opération se fait à découvert. Ce qui peut endormir la méfiance de quelques-uns. Il s'agit donc in fine de vous pousser à fournir vos informations de carte de crédit.

http://static.macg.co/img/2011/4/macdefenderaa-20110523-115556.jpg

Comment fonctionne-t-il ?
Après avoir été téléchargée, cette application s'installe comme n'importe quelle autre. Mac OS X demande le mot de passe utilisateur et à l'issue de cette étape, une nouvelle icône apparaît dans la barre des menus - sans son article Quitter, évidemment- et aussitôt ce MacProtector se met en action.

http://static.macg.co/img/2011/4/menumacprotector-20110523-120308.jpg

Sans surprise, il va vous signifier la présence de virus infectant votre Mac. On reconnaîtra aux développeurs de cette application d'avoir bien fait les choses (ne manque qu'une traduction). Elle peut sans mal être confondue avec un outil légitime. Elle propose un moniteur d'activité intégré, des options de scan… toutes choses qui au final "font vrai".

http://static.macg.co/img/2011/4/macprotectorvirustrouves-20110523-120145.jpg

Mais dès lors que l'on veut nettoyer son Mac, le bouton Cleanup va vous renvoyer sur le formulaire d'achat, avec un choix de licences et tous les champs nécessaires à la saisie de ses infos de carte de crédit.

Comment désinstaller l'application ?
Il faut d'abord forcer l'application à quitter puisqu'elle ne propose pas cette option à l'utilisateur.

- Lancez Moniteur d'activité (il est situé dans le dossier Applications > Utilitaires)

- Vérifiez que le menu à droite affiche "Toutes les opérations" et dans le champ de recherche "Filtre" tapez le nom de l'application (MacProtector dans notre cas, mais cela dépend de la variante que vous avez téléchargée)

http://static.macg.co/img/2011/4/moniteurdactivite-20110523-150141.jpg

- Sélectionnez l'opération qui apparaît (elle désigne l'application en activité) et cliquez le bouton "Quitter l'opération" puis confirmez et quittez Moniteur d'activité.

- Allez ensuite dans Préférences Système, puis Comptes puis Ouverture et supprimez la référence à MacProtector dans les éléments devant se lancer au démarrage

- Enfin, pour supprimer l'application, mais aussi ses dépendances installées dans le système, le plus simple est d'utiliser le désinstalleur AppCleaner [1.2.2 - 1,9 Mo - Mac OS X 10.4 - VF - Don]. Faites glisser sur sa fenêtre l'application MacProtector, quatre éléments seront listés, cliquez sur Supprimer et videz la corbeille
http://static.macg.co/img/2011/4/macprotectordesinstall-20110523-134842.jpg


Comment cette application est arrivée là ?
On peut récupérer cette application après une simple recherche sur Google Images. Et nul besoin d'aller chercher des contenus pornographiques. L'un de nos lecteurs par exemple recherchait au départ des fonds de coloriage pour enfants. Arrivé sur le site en question une seconde fenêtre s'est ouverte dans Firefox avec un contenu singeant celui du Finder et alertant de la présence de virus. Tout clic à l'intérieur de cette page déclenche le téléchargement du faux anti-virus.

http://static.macg.co/img/2011/4/safarivirus-20110523-135521.jpg

http://static.macg.co/img/2011/4/fichiertelecharge-20110523-135616.jpg

La technique est connue sous le terme de SEO (Search Engine Optimization) Poisoning. Cela consiste à utiliser une faille d'un serveur ou mettre à profit des mots de passe volés de serveurs FTP, afin d'y déposer un script. Celui-ci va générer à la volée des pages web destinées à être repérées et indexées en bonne position par Google. De faux sites sont mis en place pour attirer Google vers ces pages dynamiques. Le contenu de celles-ci se basera sur des recherches populaires afin de multiplier les chances d'être trouvées par les internautes. En cliquant sur l'image désirée, l'internaute va déclencher un script qui, pour reprendre notre exemple, affichera une nouvelle page dans le navigateur, avec l'alerte anti-virus, adaptée selon que vous arrivez depuis un PC ou un Mac.

On a donc affaire à une "banale" tentative d'extorsion de données personnelles au moyen d'une application donnant tous les gages, ou presque, de sérieux. Son existence ne traduit en rien une apparition subite de virus sur Mac OS X. Un vétéran du Mac ne se laissera peut-être pas prendre - la menace virale restant plus que faible - mais tout le monde n'a pas cette connaissance de la plateforme.

En se comportant comme une application normale et en jouant sur les ressorts de la peur d'une infection virale, celle-ci peut aisément tromper des individus. D'autant plus facilement que l'utilisateur est lui-même responsable, de bout en bout, de l'installation du logiciel. D'aucuns, rompus à à l'outil informatique et à ses codes, oublient souvent que pour d'autres utilisateurs, toutes ces choses, restent complexes sinon mystérieuses. Ce sont précisément ces utilisateurs, ceux qui hésitent à aller à l'encontre ce qui est marqué à l'écran, qui risquent de tomber dans le piège. Aidés en cela que depuis la recherche sur Google jusqu'à la mise en route du logiciel, aucune alerte inhabituelle n'a retenti…

Sur le même sujet :
- MAC Defender : le malware qui embarrasse AppleCare
avatar Thomas.GdM | 
Merci pour le tuyau! J'ai déjà eu quelques personnes qui sont venues me trouver pour me demander comment désinstaller ce truc, grâce à vous je sais ;-)
avatar Sebang | 
Impressionnant quand même... Mais bon, en informatique comme partout dans la vie, il faut rester vigilant et ne pas balancer des infos personnelles à tout bout de champs sans savoir où ça va. Question de bon sens plus que "d'utilisateurs rompus à l'outil informatique" amha.
avatar Dr_cube | 
Je suis tombé sur ces "pubs" récemment. Elles sont bien foutues ! Elles existaient en version Windows XP il y a quelques années et ça me faisait d'ailleurs bien rire de voir l'explorateur Windows dans Safari Mac ^^. Quoi qu'il en soit, il faut vraiment être un gros noob pour se faire avoir !
avatar Florian Innocente | 
[b] Dr_cube : Quoi qu'il en soit, il faut vraiment être un gros noob pour se faire avoir ! [/b] Tu passes trop de temps dans les labos informatiques :-)
avatar ToutSurLaPomme.Com | 
Ce qui est impressionnant c'est que des gens installent un anti virus sous Mac...
avatar Benlop | 
@Dr_cube Ce que tu traites de "gros noob" (par opposition à toi, gros leet, j'imagine...), c'est l'immense majorité des utilisateurs de l'outil informatique.
avatar Dr_cube | 
@benlop : Je le claironne haut et fort : les gens sont des gros noob ! ^^ @innocente : Pas faux ^^. Mais faut quand même être un noob pour ne pas trouver bizarre qu'une fenêtre du Finder soit incrustée dans Safari... C'était admissible de se faire avoir sur Windows quand IE était intimement relié à Explorer, mais sur Mac c'est un peu gros.
avatar nooty | 
Mildiou un antivirus qui trouve des virus sur le Mac... Et les pigeons volent...
avatar jodido | 
'tain je vais me lancer je crois le marché du pigeon est bon a prendre En plus cette méthode n'a rien d'illegal
avatar curly bear | 
Je l'ai en effet croisé hier. Il a été téléchargé automatiquement (je n'ai même pas eu l'impression de cliquer sur la page.) Heureusement, les fichiers zippés ne se de-compressent pas automatiquement sur mon Mac..,
avatar RickDeckard | 
Comme dit plus haut, ça relève plus du bon sens que du niveau de l'utilisateur. Personne n'irait confier son véhicule à un garagiste auto-proclamé rencontré par hasard dans la rue. Pourtant, ni moi, ni la majorité ne connait grand chose en mécanique. Personne n'irait confier les clefs de sa maison à un policier auto-proclamé rencontré de la même façon. Pourquoi les gens réagiraient-ils différemment avec leurs machines et leurs données bancaires ? Je trouve qu'excuser les victimes de ce genre de piège pour attardés, c'est comme excuser les boulets victimisants qui se font avoir par le scam nigérian (par exemple). Que ça touche éventuellement une majorité d'utilisateurs n'y change rien, ils ont aussi le droit de lâcher TF1 et d'utiliser leur cerveau de temps en temps.
avatar jodido | 
@RickDeckard ça confirme juste le nombre de débile de nos belles sociétés
avatar skwale | 
disons que surtout sur mac les gens sobt habitué a sortir leur carte bleue pour un oui ou pour un non....
avatar DrFatalis | 
Empoisonnés par windows, cette pâle copie issue d'un péché originel ineffaçable, une palanquée d'utilisateurs veut croire à l'utilité d'un antivirus sur Mac. Voilà le résultat. Les utilisateurs "canal historique" se tiennent les côtes... Et l'atitude d'Apple, par contre, est assez discutable: ils refusent toute assistance applecare aux personnes "infectées"...
avatar sdif | 
C'est vrai que se faire avoir, par ce qui est pour une majorité d'utilisateurs une arnaque bien ficelée, c'est vraiment être un "attardé" qui ne bouffe que du TF1, un "débile" qui fait tâche dans la société, ayant perdu tout sens commun et qui pourrait "utiliser son cerveau"... Non mais quel mépris gerbant... Merci quand même d'aider les rebuts Macgé :)
avatar Tfzero | 
Sans vouloir être sévère, c'est vrai qu'il faut être sacrément con...
avatar Lesperluette | 
Arrêtez-donc d'insulter les switcheurs qui ont encore de mauvaises habitudes lié à leur ancien OS , ce serai sympa pour eux... Merci Macgé de faire le boulot d'Apple.
avatar DrFatalis | 
Il y a quand même un truc inquiétant: à voir le look and feel de cette fausse appli, on sent les gens qui connaissent bien leur apple. Et ça, c'est inquiétant.
avatar Anonyme (non vérifié) | 
Bien moi on m'avait promis à maintes reprises 10 cm et rien n'a jamais marché, sauf le débit sur ma CB.
avatar sebastiano | 
Gardez vos "demeurés" pour vous ! On peut pas reprocher à des gens n'y connaissant rien d'être naïfs dans le domaine. Vous aussi vous pouvez vous faire avoir par un garagiste ou un serrurier...
avatar MarcoAix | 
En tous cas, pour ne pas installer n'importe quoi sur son Mac (puisque c'est le seul moyen reconnu d'y implanter un des 4 ou 5 virus expérimentés) il est intéressant de décocher dans Safari/Préférences/Général "Ouvrir automatiquement les fichiers "fiables" ... qui arrive coché avec chaque nouvelle version de Safari ... tout comme chaque Mac arrive avec le Firewall désactivé Too bad, so sad ;-)
avatar niicoo76 | 
Il y a vraiment que sur macgé qu'on voit des commentaires aussi pitoyable ...
avatar Dr_cube | 
Une fois un plombier m'a facturé 100€ pour un coup de ventouse dans le chiotte. Depuis j'ai pour habitude de me venger et de dénigrer les noobs dans mon domaine de prédilection ^^.
avatar zoubi2 | 
@niicoo: C'est pitoyable en effet. Mais je trouve ça aussi DANGEREUX. C'est l'expression d'une caste, d'une hiérarchie, d'une aristocratie -enfin, qui aime à se prendre pour telle- qui dit "MOI je sais et je tiens à garder mon savoir pour moi. Vous les roturiers vous pouvez crever". Merci MacG.

Pages

CONNEXION UTILISATEUR