Un malware affecterait 17 000 Mac
Un logiciel malveillant aurait contaminé environ 17 000 Mac. Selon l'éditeur d'applications de sécurité Dr.Web qui est à l'origine de la découverte, Mac.BackDoor.iWorm crée une porte dérobée qui permet ensuite de prendre le contrôle de la machine à distance. Ce type de malware sert notamment à faire des ordinateurs infectés des botnets (ou machines zombies) utilisés pour mener des campagnes de spam ou des attaques DDoS.
Dr.Web indique que le logiciel se décompresse dans le dossier /Library/Application Support/JavaW — si ce dossier n'est pas présent dans votre ordinateur, vous n'êtes donc pas touché. Puis le malware crée un fichier plist, se déguise en application com.JavaW et fait en sorte de se lancer au démarrage de la machine. Il va ensuite chercher sur le site communautaire Reddit la liste des serveurs auxquels il doit se connecter. Le forum en question et son utilisateur ont depuis été bannis. Sauf si le malware est capable de chercher ailleurs que sur Reddit, la menace est donc écartée.
XProtect, la liste de références de logiciels malveillants d'OS X, n'a semble-t-il pas encore été mise à jour pour prendre en compte Mac.BackDoor.iWorm. Le chemin d'accès à la liste est le suivant :
/System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
Euh, super macg merci pour l'info mais du coup comment on le détecte/s'en débarrasse le cas échéant???
@KimoMac :
Exact, c'est un peu la question prioritaire ! XD
@KimoMac :
Le chemin ou il se loge est indiqué à la fin de l'article...
@KimoMac :
Tu as le chemin pour trouver le fichier...
Si tu le trouves, tu le jettes, vide la poubelle, et redémarre ton mac...
@noooty :
L'article a été updaté justement suite à mon com, il n'y avait pas le chemin avant.
Plus simple et logique :
Enqueter chez Dr.Web et poursuivre en justice la societé pour avoir mis au point ce fichier.
Plus simple, plus efficace, direct a la source.
A faire ca a tous les editeurs d'Antivirus et il n'y aura plus de virus.
Phil1982
"A faire ca a tous les editeurs d'Antivirus et il n'y aura plus de virus."
Tu veux dire que ça va obliger les hackers chinois à arreter de proposer des malwares sur les panels qu'ils se mettent à dispo entre eux... ?
Non mais Apple Microsoft et tout ca n'ont pas besoin de societes dediees aux Anti-virus. Ce n'est qu'un business model tout ce qu'il y a de plus inutile.
Demain il y a un virus, c'est pas Avast qui va changer le monde, Microsoft Apple etc. peuvent tres bien sortir leur propre protection comme ils le font deja (cf. appareils mobiles).
Et, depuis des annees il y en a un paquet qui essaient de faire peur aux macintoshiens, il y a de plus en plus de pub pour creer la nevrose. Ces gens-la ont tout misé sur leur petite entreprise, pour nourir leur petits enfants et acheter leur maison... et ils sont désespérés qu'un jour ENFIN, on commence à être paniqué sur mac et qu'on leur achète leur anti-virus..
Donc ce genre de news c'est du business tout craché..
PS : les chinois font uniquement ca pour ces sociétés, ou pour leur CV. Personne n'en a rien a foutre de nos données persos..
Que dire face à tant de conneries ?
D'après toi apple et ms pourrais s'occuper à elles seules de la détection de plusieurs centaines, voir milliers, de "nouveaux" malwares par jour... ?
Non, je dis que sans ces sociétés d'anti-virus qui CREER la plupart des virus, il y aurait beaucoup moins de virus, donc gérable pour MS et Apple.
C'est une opinion, un ressenti, pas l'affirmation de la vérité absolue dû à la perfection supérieure de mon être, donc pas besoin de dire que ce qui sort de ma bouche est de la connerie ;)
Tu m'dirais que c'est les Etats ou leurs branches IT de pointe pour l'espionnage/cyberguerre, wé mais les sociétés d'AVs n'ont pas besoin d'en créer eux même pour avoir du boulot. Elles sont même largement en sous-effectif.
C'est plusieurs dizaines de milliers de nouveaux samples, pas que des nouveaux virus mais beaucoup de versions modifiées pour être de nouveau indetectable, avec 0/0 en detection à analyser par jour qui sont soumis à virustotal.
Pour certains malwares c'est des tiers, des gentils white hat, qui leur pré-mache le boulot, voir mettent hors-services les centres de contrôle, essaient de mettre la main sur les sources pour y ajouter un mode autodestruction (tu devines pourquoi ?), etc.
Ca fait réflechir, et je lis à grands yeux ce que tu dis.
Je reste quand même convaincu qu'une entreprise brassant des millions (pour les plus grosses) à forcément quelque chose à voir avec ce qui pousse leurs produits à être achetés..
Bref, on ne saura jamais vraiment, comme d'hab..
@Phil1982
http://windows.microsoft.com/fr-fr/windows/security-essentials-download
No comment...
@Perc3val :
Apprends à lire. Il s'agit du chemin d'accès de la liste Xprotect...
@stephmouss :
Merci!
Je suis sûr de ne pas l'avoir car....je vis en Afrique !!! Ok je sors --> [•]
C'est bizarre, un ami à fait une mise à jour via l'App Store et paff virus :/. Mais lui c'est sous le nom de " ams1.ib.adnxs ". Si c'est vraiment de l'App Store c'est vraiment inquiétant là :/. Le virus semble entre bien plus connu sous linux et pc mais personne en parle sur Mac
@ptitgrub
Non, c'est un adware qui pourrit les navigateurs et en particulier Safari.
Et ce n'est pas depuis l'App Store, c'est toujours le fait de ne pas télécharger sur le site officiel d'un éditeur. Et oui, certains sites très connus, je ne citerais pas de nom, font un repackage du fichier .dmg en y incluant leur saloperie de fichier qui vous pourrira la vie avec vos navigateurs.
Il suffit de chercher dans les forums la tonne de messages avec ces saloperies qui devient une sorte de pandémie en ce moment.
@Locke :
Oh tu peux citer les noms tant qu'à faire ça fera pas de mal, au contraire ;)
Je regarderai ce soir, car mon mac est horriblement long surtout au démarrage! Il me faut 3min pour pouvoir l'utiliser!
Oulah, va falloir reformater tout çà rapidement ... :-/
Pardon, j'ai pas pu résister...
tu confonds formater et défragmenter ;)
En effet [ ☺ ], mais on peut aussi passer un coup de DiskWarrior et en profiter pour revoir si tout ce qu'on a installé est indispensable en démarrage automatique.
Sinon, on peut essayer aussi un SSD externe dans un boitier relié à l'USB3 ou le FireWire 800. Sur un "vieux" Mac genre Core 2 Duo, c'est facile et pas cher.
@yannc :
C'est le temps que mettait mon iMac Early 2008 à booster avant sur HDD..
Depuis que je l'ai remplacé par un SSD c'est 15 secondes ;)
@yannc :
Impossible, seul windows est long au demarrage
Bonjours a tous,
Je possède effectivement un fichier nommer "Xprotect.plist"
capture:http://www.hostingpics.net/viewer.php?id=514455Capturedcran20141002135348.png
Doit je le supprimer?
Merci beaucoup ;)
"Doit je le supprimer?"
Ah non surtout pas. Ce fichier contient des infos ce n'est pas le malware. Ouvrir "Xprotect.plist" avec BBEdit ou TextEdit et chercher s'il contient "Mac.BackDoor.iWorm". Dans ce cas, supprimer tout le paragraphe afférent et sauvegarder le fichier. Sinon, tout est OK.
D'accord merci beaucoup pour cette réponse clair et rapide ;)
Euh, tout bien réfléchi, il n'est en fait pas indispensable de toucher à "XProtect.plist" à ce stade, ni même utile. Ce fichier devrait être mis à jour pour protéger contre le malware en question, mais Stéphane ne précise pas s'il est lui-même potentiellement contaminé.
Donc pour l'instant, il suffit de vérifier que le fichier "Mac.BackDoor.iWorm" ne se trouve pas dans "/Library/Application Support/JavaW" sous le nom de "Mac.BackDoor.iWorm" … ou un autre nom se terminant pas "com.JavaW".
Bonsoir, j'ai pas très bien compris les explications, moi sur mon Mac j'ai le dossier JavaW dans /Library/Application Support/, suis-je touché ?
Oui.
Ne pas toucher à Xprotect. C’est un fichier système qui liste les malwares connus pour vous en protéger.
http://www.thesafemac.com/dr-web-announces-new-iworm-malware/
Il n'y a rien et il n'y aura rien à supprimer de cette liste Xprotect qui référence tous les malwares à traiter. Apple devrait donc fournir l'ajout correctif concernant Mac.Door.iWorm" prochainement.
Merci à MacG d'avoir mis le problème en évidence
mais il serait bien aussi d'être plus clair sur la manière de régler la chose...
Visiblement tout le monde n'a pas compris... et moi non plus sans doute !
grand merci
C'est facile de s'emmêler les pinceaux mais à relire les explications de Stéphane, c'est en fait assez clair.
Suffit d'aller sur le Finder, aller au dossier "/Library/Application Support/JavaW". Si on n'obtient qu'un bip et un message disant que le dossier n'existe pas, c'est bon, c'est que le fichier n'existe pas.
Dans le cas peu probable ou le Finder montre le contenu du dossier, c'est qu'il y a infection, il faut reformater tout le disque dur et réinstaller un système tout neuf (!)
@FollowThisCar :
"Dans le cas peu probable ou le Finder montre le contenu du dossier, c'est qu'il y a infection, il faut reformater tout le disque dur et réinstaller un système tout neuf (!)"
Et bien, c'est radical chez toi ! (il y a aussi l'option de bruler le Mac !)
@bugman
Ha ha tout-à-fait, mais je n'ai fait que résumer les conseils de The Safe Mac:
* http://www.thesafemac.com/dr-web-announces-new-iworm-malware/
En tout cas pour ma part suis pas inffecter
@KimoMac
Ben non, la liste pourrait être longue. Sur le fond, c'est très simple : toujours télécharger sur le site officiel d'un éditeur.
Un jour il y aura surement une police privée qui sera payée pour éliminer physiquement les auteurs de ces malwares, virus et autres.
@Orus :
Ouais les boite de sécurité des grands groupes editeurs de virus, euh de solutions anti virus ^^
@jb18v :
Dans ce cas ils risquent de faire des morts jusque dans leurs propre rangs ;)
@ptitgrub
Si c'est vraiment de l'App Store c'est vraiment inquiétant là
L'AppStore du Mac n'est pas controlé par Apple , hélas.
@USB09 :
Ah bon ? C'est nouveau ça ? Je cours dire ça à quelques amis devs qui ont eu des soucis avec le sandboxing.
Y a peu de chances que le souci viennent d'une app téléchargé sur le macapp store. Tout est possible, mais dans ce cas il suffit qu'il le dise et ça sera très vite corrigé.
Bonsoir, j'ai pas très bien compris les explications, moi sur mon Mac j'ai le dossier JavaW dans /Library/Application Support/, suis-je touché ?
Re-oui.
http://www.thesafemac.com/dr-web-announces-new-iworm-malware/
Oui tu es touché. Tu devrais supprimer ce dossier au plus vite.
Pages