Un nouveau cheval de Troie sur Mac à la portée limitée
Intego a repéré sur ses radars un nouveau trojan sur Mac qui vise apparemment l'industrie aérospatiale. Ce cheval de Troie, baptisé Komplex, est propagé par la bonne vieille méthode de la pièce jointe de courriel.
Caché dans un PDF d'un programme spatial russe, il installe sur le Mac de la cible de quoi pouvoir prendre son contrôle à distance. Selon Intego, Komplex est encore inactif pour le moment, mais son créateur Sofacy Group (aussi connu sous le nom de Fancy Bear, Pawn Storm, APT28 ou Sednit) pourrait décider un jour d'en tirer parti. Un précédent vecteur de propagation était une faille dans MacKeeper, un soi-disant logiciel de sécurité qui fait plus de mal que de bien.
Si vous n'avez pas ouvert de PDF russe et que vous n'avez pas installé l'affreux MacKeeper, vous n'avez rien à craindre a priori. Sinon, vérifiez qu'il n'y a pas de fichiers suspects à ces emplacements : /Users/Shared/.local/kextd et /Users/$USER/Library/LaunchAgents/com.apple.updates.plist (vous pouvez les copier-coller dans le menu « Aller au dossier... » du Finder).
Après le cheval de troie, le poney de troie.
Tiens, c'est marrant, je me suis fait lyncher il y a quelques temps pour avoir soutenu qu'une protection antivirus était nécessaire aussi sur Mac...
Même si ce poney n'est pas très virulent, il est bien la preuve qu'une protection n'est pas inutile.
Ben un antivirus (enfin un anti-malware) est utile a 2 conditions:
- il detecte 100% des infections
- il ne degrade pas le systeme
Il y a 2 types d'anti malware:
- ceux qui fouillent le systeme pour y trouver la signature de malware connus
- ceux qui "monitorent" le systeme pour y decouvrir des comportements de malware connus mais surtout inconnus.
Les premiers peuvent etre utiles tant qu'il faut les lancer volontairement et que leur fonctionnement reste ponctuel. Leurs limites sont toutes liées au fait qu'il faut que le malware ait ete identifié, qu'il existe dans une base de donnees et que le soft soit a jour, donc qu'il se mette a jour au lancement...
Vu que MacOS et Windows integrent justement ce systeme, la seule justifiucation d'un tel anti malware c'est qu'il est mis a jour plus vite que les systemes presents dans les OS...
La seconde famille, les anti-malware predictifs, sont eux inutiles et nuisibles, provoquant plus de degat que les malwares...
Reste un 3eme outil qui n'est pas un antimalware en tant que tel mais qui represente un bon compromis de protection sans degrader l'OS: ce sont les softs comme Little Snitch et Hands off.
Ils compliquent un peu la vie insouciante de l'utilisateur naif de Mac, mais moyennant un petit effort et une petite capacité a anticiper ses besoins, ils offrent une protection a la source. Leurs roles est de monitorer simplement les acces fichiers et reseaux des applications. Si une application tente de faire ce qu'elle n'est pas censé faire, alors elle est bloquée et le soft alerte l'utilisateur. Ça marche pour tous les malware, meme ceux d'Adobe!
Ma preference va a Hand off, meme si Little Snitch l'a rattrapé sur beaucoup de points. Quant a l'antivirus j'utilisai ClamX AV avant qu'il soit abandonné (il existe toujours en ligne de commande avec Macport...)
@C1rc3@0rc :
ClamXav abandonné ?
ClamXav is alive and well and living at clamxav.com !
Régulièrement actualisé ; la version 2.10 est sortie ce jour même.
Simplement, il n'est plus freeware depuis un moment, et a quitté le Mac App Store pour les raisons que vous pouvez imaginer.
Je l'utilise quotidiennement sur tous les systèmes OS X dont je n'ai pas un usage exclusif. Il s'est montré parfaitement fiable jusqu'à maintenant, y compris envers des fichiers Windows infectés, sans conséquences sur un Mac, mais dont la transmission vers des clients Windows aurait créé des problèmes.
Le problème de ces anti-virus est qu'ils détectent aussi les virus Windows. J'en veux un qui s'occupe uniquement des virus Mac.
Ben vu qu'il y a pas (encore) de virus sur les Mac, y a pas d'antivirus que pour les Mac...
@ C1rc3@0rc : « Ben vu qu'il y a pas (encore) de virus sur les Mac »
J’aurais plutôt utilisé une formule du genre « il n’y a pas de virus en ce moment sur les Mac », en souvenir des bons vieux MDEF A et B et autres cibles de Disinfectant à la belle époque. :-)
@ frankm
Tu sais, les antivirus ont des préférences, et un certains (tous ?) te permettent de choisir les types de malwares détectés. Donc d'ignorer les merdouilles pour Windows si tu n'en as que faire.
@ Jippi : « Tiens, c'est marrant, je me suis fait lyncher il y a quelques temps pour avoir soutenu qu'une protection antivirus était nécessaire aussi sur Mac... »
Ben là, en l’occurrence, ce machin ne rend toujours pas une telle protection nécessaire.
Ça n’a rien d’un virus, et rien de discret non plus.
@Jippi
Tu ouvres les mails russes sans te poser de questions ? ;)
Le secteur aerospatial russe dans son ensemble, c'est 240k personnes, faut en plus qu'elles taffent sur Mac, avec MacKeeper. Le cheval de troie visait combien de personnes? 4?
@Paquito06 :
Ne pas oublier que dans cette industrie la mondialisation est de norme. Les inter-connexions sont énormes.
pas beaucoup vu comme ça mais si on regarde l'info d'Intego, on a vite tendance a se dire que c'est un prototype et une "etude" de faisabilité, plutot qu'un vrai machin bien mechant. Le mechant il va arriver aprés, et il sera lui multiplateformes.
Les editeurs visent un petit secteur avec des personnes hyper eduquées, des ingenieurs souvent, et qui ont l'habitude de l'outil informatique. Tout cela pour ne rien faire. C'est beaucoup de risques pour rien. Par contre, que le malware soit activé ou pas cela indique beaucoup de chose sur le comportement de la cible, et cela permet d'adapter le nuisible pour qu'une version derivée fasse elle beaucoup de degat.
Il ne faut pas non plus negliger un aspect: le vehicule c'est un PDF qui se trouve dans un email. Il n'y a rien de plus commun et massivement present. Ce mecanisme peut etre integre et derivé facilement et cibler des masses de maniere efficace.
L'autre aspect inquietant c'est que ce PDF fonctionne avec Aperçu et qu'il ne se limite pas a l'exploitation d'une faille d'Adobe Reader, comme c'est le cas tres souvent.
Autre element ettonant, il semble pas demander de mot de passe administrateur. Peut etre que la majorité des irresponsables qui utilisent un compte administrateur comme compte utilisateur suffit pour prevoir de tres gros degats.
@ C1rc3@0rc : « Il ne faut pas non plus negliger un aspect: le vehicule c'est un PDF qui se trouve dans un email. »
Il n’est pas clair que ce soit ça, en fait. En suivant les liens jusqu’à l’article de Palo Alto Networks qui décrit le machin (Intego n’ayant fait que rapporter leur trouvaille), on y voit (dans la figure 1) un bout du code de ce qui est exécuté. Et le code montre une bête application (avec extension « .app ») qui, lors du lancement, s’efface et demande à Aperçu d’ouvrir un PDF qui a été copié au même endroit.
L’ouverture du PDF est là pour endormir les soupçons de l’utilisateur en lui mettant de la lecture sous le nez.
Mais avant ça, le lancement de cette application aura provoqué l’apparition du dialogue d’avertissement habituel, voire aura été bloqué par GateKeeper. Donc l’utilisateur ne devrait pas se laisser avoir par l’affichage du PDF.
Malheureusement, l’article de Palo Alto Networks n’indique pas comment le machin est distribué et comment l’utilisateur est incité à croire qu’il s’agit d’un PDF et à l’ouvrir. C’est dommage, car c’est pourtant la seule partie intéressante (le reste étant basique et banal).
« L'autre aspect inquietant c'est que ce PDF fonctionne avec Aperçu et qu'il ne se limite pas a l'exploitation d'une faille d'Adobe Reader, comme c'est le cas tres souvent. »
Cf. ci-dessus : apparemment, non, il n’y a pas d’exploitation de faille d’Aperçu, ce dernier étant juste ouvert explicitement par le malware.
« Autre element ettonant, il semble pas demander de mot de passe administrateur. Peut etre que la majorité des irresponsables qui utilisent un compte administrateur comme compte utilisateur suffit pour prevoir de tres gros degats. »
Ou alors c’est juste que, comme pour 99 % des logiciels, ce malware n’a aucunement besoin de droits administrateurs pour faire ce qu’il a à faire et que du coup, se focaliser sur l’usage d’un compte administrateur est complètement à côté de la plaque. ;-P
Les soucis MacKeeper datent me semble t-il ? Sinon lorsque mon Mac est en veille il émet parfois un bruit semblable à celui d'une capture d'écran, Mac sous 10.6.8, ça date aussi, ok ok mais si quelqu'un à un truc pour vérifier tout cela merci d'avance ?
Mon Bitdefender date aussi il s'agit de la version gratos de l'AppStore puisque pour ces fameux anti virus, Intego et autres faut avoir évidemment la dernière version du système.
Sinon pas trop inquiet, je n'utilise pas ce Mac pour mes comptes Blizzard, merci Apple quoique Windows ça craint........vraiment, SSD et plein de Go au démarrage mon PC est moins effectif que ce MacMini qui date. Pendant que je relève mes mail sur le MacMini qui date le PC fait ses mises à jour....... quotidiennes.
Si tu as Mackeeper, alors tu as un malware!
Ce programme est une vraie infection on le dira jamais assez
Apres, un antivirus qui date, surtout sur un OS qui date lui aussi c'est un peu comme vouloir se proteger de la pluie en chantant... ça sert a rien du tout. Un antivirus, et surtout sa base d'informations, doit etre a jour!
La solution dans ton cas c'est assez simple mais ça prend un peu de temps:
-backup
- utiliser une version gratuite d'un antivirus recent sur ton disque (pas la sauvegarde)
- si tu trouve une infection, faut alors nettoyer, probablement en payant un antivirus plein pot et rebackup une fois que t'es certain que tout focntionne.
- formatage du disque
- clean install avec recuperation de tout ce qui n'est pas executable (les applications, script, etc)
- reinsaller les applications vraiment necessaires et verifiées une pas une et version la plus recente possible.
Merci
Les 2 dossiers mentionnés en fin d'article sont introuvables sur mon Mac sous Yosemite.
Tente une restauration à partir d'une sauvegarde ou fait une clean install. Si tu ne les vois toujours pas essaie de les télécharger à la source. J'espère pour toi que ça va s'arranger. Tiens nous au courant !
Encore 1 coup de Poutine ?
Si vous cherchez un excellent anti-virus / anti-malware gratuit, je vous recommande Sophos :
https://www.sophos.com/en-us/lp/sophos-home.aspx
P.S : Il fonctionne sous Sierra :-)
Tellement compatible qu'il fait planter Time Machine…
http://forums.macg.co/threads/time-machine-bloquee.1284962/
N'installez pas ces merdes !
Aucun problème chez moi et chez la plupart des utilisateurs (je consulte régulièrement leur forum). Les problèmes dont tu parles semblent venir de configurations spécifiques et font surtout état de lenteurs de sauvegardes TM (sous sierra) :
https://community.sophos.com/products/sophos-home/f/143/t/80557
https://community.sophos.com/products/sophos-home/f/143/t/80195
Evidemment, je ne connais pas de logiciels qui n'aient pas de bugs et ca vaut le coup de l'essayer pour se faire une opinion objective...
Non merci.
Ça fait un moment que le retour de ces choses sur le forum technique a forgé mon opinion.
Sur Mac depuis 1996 : jamais d'anti-virus et jamais de problème ! Seulement je n'installe pas n'importe quoi, je ne vais pas sur les sites de torrent et de Streaming et je n'ouvre jamais de pièces jointes d'expediteurs que je ne connais pas ou qui me paraissent suspectes.
@occam
Je confirme que ClamXav est toujours vivant, je l'utilise depuis longtemps et en suit très satisfait !!
Merci pour l'info de MAJ ... je viens de l'appliquer.
J'avais oublie ClamXav je le croyais desormais payant, j'utilise son homologue sous Ubuntu pour verifier certains fichiers.