MAC Defender : un faux anti-virus repéré

Florian Innocente |
Intego fait état de la découverte d'une application se faisant passer pour… un anti-virus. Baptisée MAC Defender elle vise à soustraire les informations de carte bleue en proposant d'enregistrer le logiciel. Avant peut-être d'autres utilisations.

Elle prend les atours d'une véritable application, avec une interface assez propre et se lançant automatiquement au démarrage. De faux messages de découverte de virus sont affichés, de même que des pages de sites pornographiques afin d'inviter l'utilisateur à s'enregistrer pour pouvoir les éradiquer du disque dur. Après quoi la fréquence de ces messages diminue.

http://static.macg.co/img/2011/4/macdefender1-20110502-170315.jpg

Au départ le logiciel se récupère via des sites web qui présentent un message (dans une fenêtre au look Windows) annonçant que des virus ont été découverts sur votre machine. Des sites mis en avant par des techniques visant à les faire remonter dans les résultats de recherches. Un procédé assez classique en soi, mais habituellement utilisé pour diffuser des applications Windows. Le téléchargement du logiciel, sous la forme d'une archive .zip, est automatique et son installeur se lance également tout seul si l'option ad-hoc est cochée dans les préférences du navigateur. Intego affirme que ce logiciel est encore assez peu répandu.

http://static.macg.co/img/2011/4/macdefenderb-20110502-170553.jpg

Tags
avatar magic.ludovic | 
Ca bouge coté "virus" sur Mac ... Le prochain switch des Mac Users ? : Linux ! ;) ( en même temps, faut être mou du cerveau pour cliquer dans une fenêtre Windows nous disant avoir un virus ... non ? ok, je sort ... )
avatar Taum | 
Comme dirait l'autre, "Le plus gros virus, c'est celui entre la chaise et le clavier"
avatar Faabb | 
J'ai vu cette application macdefender s'ouvrir il y a qq jours sur le Mac de ma famille. J'etais surpris de voir ce logiciel demander d'être installé, mais je n'ai rien fait et j'ai effacé le dmg d'installation. Sait-on quel(s) processus sont associés a ce malware dans le gestionnaire de taches?
avatar thierry37 | 
Bien malin le procédé quand même. Les utilisateurs "simple" comme mes parents se feront prendre. Ah non. Ils encooooore me demander avant de cliquer un bouton. :-) Dur de faire switcher ses proches "vieux". Faites gaffe. ;-)
avatar xatigrou | 
ça s'appelle un rogue et ça prouve que les macs sont désormais vulnérables aux malwares en tout genre (comme le prouve d'ailleurs l'antimalware intégré à Snow Léo). Je m'étais fait pourrir un PC avec ce genre de machin il y a 6 ou 7 ans, une époque où les antivirus se distinguaient par leur inefficacité. Mais depuis 1 ou 2 ans les moteurs proactifs des antivirus (même de certains gratuits) ont fait des progrès considérables et je me sens désormais parfaitement tranquille quand je suis sur PC. Pour l'instant on nous parle d'une vraie menace sur mac tous les 6 mois, quand il y en a plusieurs dizaines par jour sur PC. On peut encore se considérer comme tranquille. Attendons de voir comment cela évoluera à l'avenir.
avatar XiliX | 
@xatigrou Désolé, mais pour ce genre de "malware", aucun antivirus autre que l'utilisateur ne sera efficace. Il s'agit ici de proposer d'installer une application, comment un antivirus va pouvoir répertorier toutes les applications existantes sur la planette. D'ailleurs sous windows, les antivirus sont totalement inefficace face à ce type de malware. Car ici on a une application avec installateur... Effectivement ici l'application s'appelle Mac Defender inconnue dans le milieu. Si l'appplication à télécharger s'appellait "Intego virus barrier" ??? A moins de connaitre la signature de la vraie application "Intego virus barrier", l'antivirus ne pourra différencier le faux du vrai.
avatar hartgers | 
@XiliX : comme tu dis, les méchants sont encore trop bêtes. À leur place, je copierais l'interface d'un antivirus existant et connu. Encore que pour copier, les types ont du mal, il suffit de voir les pâles copies de fenêtres Windows dans les bannières de certains sites, ça fait de la peine à voir : il suffirait d'une capture d'écran avec la même typo, mais non, leur bannière est toujours trop moche. Heureusement pour nous, les développeurs de malwares sont des abrutis.
avatar Anonyme (non vérifié) | 
Bref c'est une totale escroquerie, et je suppose qu'il ne sera pas possible d'identifier son auteur, et puis combien même on l'identifierait, qui le poursuivra ? qui le condamnera ? Comme disait Pompidou, "il faut foutre la paix aux français". Cela consiste effectivement à nous foutre la paix (nos gouvernements de droite comme de gauche font totalement le contraire), mais cela consiste aussi à empêcher les voyous de nuire... Mais ces derniers ont de beaux jours devant eux tant les uns et les autres ont besoin qu'il y ait des voyous pour exister.
avatar joneskind | 
Bah... C'est pas un virus, puisque incapable de s'installer tout seul. Et on est pas plus à l'abri de ce genre de programme sous Linux, OSX, Workbench, ou Casio, vu que c'est l'utilisateur qui l'installe. Sur Linux, on peut très bien installer ce genre de connerie en passant par un mauvais dépot. Sur Mac, on pourra toujours passer par le Mac AppStore (qui est un genre de gestionnaire de paquet synaptique) et sur Linux on évitera de sortir des dépots officiels... Comme d'habitude dans ces cas là, beaucoup de bruits pour rien.
avatar xatigrou | 
@Xilix : bien sûr que si, les antivirus reconnaissent la signature du faux logiciel une fois qu'il est identifié comme malveillant par les serveurs. En fait je ne comprend pas vraiment votre commentaire, les antivirus font ça depuis plusieurs années (comme je le dis dans mon précédent com l'efficacité a progressé de façon considérable depuis 2 ou 3 ans) Contrairement à ce que vous affirmez un simple antivirus comme microsoft security essential est extrêmement efficace pour bloquer ce genre de menace (personnellement je n'ai JAMAIS été trahi en un an, même en ayant des comportements volontairement permissifs sur des machines virtuelles). Avast m'avait totalement nettoyé un PC rendu quasi inutilisable, truffé de rogues et de faux antivirus il y a 5 ans, alors qu'avast était réputé comme étant une passoire à l'époque. Pour ceux qui veulent quelques tests d'antivirus : tapez peghorse sur google (je ne sais pas si la charte m'autorise à mettre l'adresse directe d'un site extérieur)
avatar BS0D | 
Pfffff, malware? mais on sait même pas d'où ça sort ce truc, c'est qui les développeurs? qui va acheter un pauvre anti-virus tout pourri au look bidon sans avoir lu des choses sur un site web digne de ce nom? trouvez pas ça bizarre que personne se demande d'où il sort ce truc? ça serait facile de faire tomber les malins qui l'ont pondu. conslusion simple, c'est intego eux-mêmes qui ont développé cette saleté, non?
avatar pftlyon | 
Il ne sert à rien de parler de "virus" au sens propre du terme sur mac car ils sont très peu répandus. En revanche, il serait plus approprié de parler de menaces web, surtout depuis le web 2.0 et la aucune plate-forme n'est à l'abri. Après, certes les menaces sont plus nombreuses sous windows (plus de 90% du marché des ordinateurs personnels) mais il ne faut pas croire qu'elles sont inexistantes sur mac pour quiconque utilise son ordinateur d'une manière avancée (achats sur le web, échanges avec d'autres machines, réseaux sociaux, phishing...) et puis mieux vaut prévenir que guérir. Certains s'offusquent en entendant parler de virus ou autre sur mac. Néanmoins le jour ou ils auront ce genre de soucis, il ne faudra pas pleurer, et ça n'arrive pas qu'aux autre. Après, je ne suis pas non plus partisan d'intego car en sécurité, mieux vaut ne pas mettre tous ses oeufs dans le même panier. Aussi, j'ai opté pour little snitch en firewall (bien plus paramètrable que virusbarrier ; kaspersky en antivirus ; iguard en sentinelle et firefox/thundebird avec 2-3 extensions). Pour autant, mon mac n'est pas ralenti, fonctionne du tonnerre mais au moins, cela limite les risques...
avatar hartgers | 
@pftylon : d'accord avec toi. J'ai eu un souci avec une merde de barre d'outils, une restauration Time Machine et c'était réglé. Ça arrive mais en étant prudent, on évite 99% des problèmes – en l'occurrence j'ai joué avec le feu.
avatar Anonyme (non vérifié) | 
Bonsoir à tous! J'ai été très idiote...mais prise de peur et pensant que j'avais des virus sur mon mac, j'ai installé le programme mac defender, suite à l'ouverture de sa fenêtre...Puis je l'ai installé sur mon ordi...:/!!! Après avoir lu vos messages, j'ai seulement compris que c'était un faux anti-virus... J'ai directement mit les icônes mac defender dans ma corbeille et l'ai vider. Est-ce que ca veut bien dire que je l'ai supprimer de mon ordi??? Si non comment dois-je faire? Merci d'avance pour vos réponses.... ps: je sais que c'est pas très fute fute de ma part :/
avatar BS0D | 
@jenwil: Non, virer 'un icône' ne suffit pas. Il faut déposer l'application elle-même (dans le dossier Applications donc) dans la poubelle et la vider ensuite. D'ailleurs si j'étais toi, je virerais aussi les fichiers de préférences par sécurité...
avatar pftlyon | 
Ca ne suffit pas pour éradiquer un programme définitivement, il reste toujours des fichiers cache.... Un programme tel que appdelete tel que proposé dans le bundle sur l'article macg : https://www.macg.co/news/voir/198462/macbundle-pro-9-applications-pour-20 le must reste clean my mac. Autrement, regarde dans le moniteur d'activité si le programme en question ne réside pas en mémoire auquel cas il faudra utiliser le stopper et envisager une solution plus musclée!
avatar Anonyme (non vérifié) | 
Merci BSOD Le dossier zip c'est afficher sur mon "bureau" et quand je vais voir dans mon dossier Applications je ne le vois pas, ni si je fais une rechercher dans mon ordinateur... Il est juste visible dans ma fenetre "téléchargement" firefox
avatar Anonyme (non vérifié) | 
Merci DSOD Le fichier zip n'est pas dans le dossier Applications. Il s'était afficher sur mon "Bureau" Et quand je fais une recherche dans l'ordinateur, il n'y a rien non plus La seule trace qu'il me reste se trouve dans la fenêtre de "téléchargent" de Firefox
avatar Anonyme (non vérifié) | 
Merci pftlyon Où je trouve le moniteur d'activité....? Oulala c'est compliqué...Je me sens complétement idiote face à ce que vous dites Ça me fais un peu peur...:/
avatar Florian Innocente | 
@ jenwil : Finder > Menu Aller > Utilitaires
avatar Anonyme (non vérifié) | 
Merci innocente vérification faite dans le moniteur d'activité... Pas de trace de "macdefender", ni de "bestMacAntivirus"! Donc je suppose que c'est ok :-) Par contre je vois dans la colonne "Utilisateur" toujours dans le moniteur d'activité, qu'il n'y a pas uniquement mon nom d'utilisateur...Est-ce normale? Merci d'avance pour ta réponse
avatar nemo77 | 
Une solution de secours a été trouvée pour ceux qui sont infectés par le ver : dans le Moniteur d’activités (au sein des Utilitaires du dossier Applications), il faut quitter tous les process liés à MACDefender, puis supprimez MACDefender du dossier Applications. Vérifiez ensuite l’onglet Ouverture des comptes dans les préférences système si le malware n’y est pas présent. Enfin, via Spotlight, faites une recherche avec le mot MACDefender.
avatar XiliX | 
[quote=xatigrou]@Xilix : bien sûr que si, les antivirus reconnaissent la signature du faux logiciel une fois qu'il est identifié comme malveillant par les serveurs.[/quote] Pour savoir s'il s'agit d'un maware ou non comme tu dis, il faut connaitre la signature. Mais c'est là tout le problème. Pour dire que c'est un faux logiciel il faut : 1. Avoir une référence. Donc un logiciel existant connu, qui sera utilisé comme référence. Par exemple, CS5. Et on trouve un CS5 dont certains codes ne correspondent pas au logiciel de référence connu. Puisqu'il y a une référence c'est facile. 2. Il n'existe aucune référence... comment faire pour comparer ? Comme ce Mac Defender ? Pour savoir si c'est un faux, il a fallu le trouver, télécharger, installer et observer les comportements. En attendant, des millions de gens l'auraient téléchargé. Donc même avec un antivirus... c'est trop tard, la définition n'est pas encore connue, donc il est indétectable. Habituellement les malwares n'ont pas ce genre de comportement, ils sont plus insidieux. En fait c'est comme un agent de sécurité au milieu d'une foule. Il ne va pas comparer l'identité de chacun, mais observer des comportements suspects. Jusque là les malwares s'incruste à l'intérieur d'une application connue, ou essayent de s'installer tout seul. Ce type de comportement peut être détecté par l'antivirus en attendant que la liste d'une nouvelle définition soit publiée. Mais il peut aussi passer à la trappe. Kaspersky utilise une méthode un peu différent, une analyse heuristique. Or, une fois de plus, dans le cas de MacDefender, c'est une application qui se télécharge, et avec un installateur qui plus est. Qui s'installe normalement comme une application.
avatar XiliX | 
[quote=xatigrou]Contrairement à ce que vous affirmez un simple antivirus comme microsoft security essential est extrêmement efficace pour bloquer ce genre de menace (personnellement je n'ai JAMAIS été trahi en un an, même en ayant des comportements volontairement permissifs sur des machines virtuelles).[/quote] Microsoft met à jour la définition de son antivirus, Windows Defender, une fois par semaine… soyons sérieux, c'est certainement l'antivirus le moins fiable. J'essayerai MSE la prochaine fois... mais bon, les critiques sur le net n'est pas très en faveur à ce produit. [quote=xatigrou]Avast m'avait totalement nettoyé un PC rendu quasi inutilisable, truffé de rogues et de faux antivirus il y a 5 ans, alors qu'avast était réputé comme étant une passoire à l'époque.[/quote] Avast est certainement un des meilleurs antivirus, c'est ce qu'on utilise à mon travail. Mais bon, il faut quand même faire la mise à jour la définition régulièrement. Sinon, une lecture intéressante http://www.echosdunet.net/dossiers/dossier_5136_les+antivirus+ne+tiennent+pas+face+des+attaques.html
avatar iMarc_fd | 
Argfff, on l'a déjà dit, et on le redit, et on le dira toujours, ici le problème encore une fois, c'est la personne qui est derrière la machine, que tu soie sous Linux, Windows ou Mac, ou bientôt, chrome os ! Mac est parfait à ce niveau la, la preuve jamais de virus depuis :)
avatar Le principe ignoto | 
@ jenwil : Si tu n'as fait que télécharger le fichier .zip, que tu ne l'as pas ouvert ni installé quoi que ce soit en donnant un mot de passe d'administrateur, rien n'a pu s'installer et flanquer le fichier .zip à la Corbeille était la bonne réaction...
avatar Anonyme (non vérifié) | 
Merci nemo77 J'ai bien tout vérifié et pas de trace de Macdefender... Oufff je suis soulagé :-) Merci à vous tous pour vos conseils ^_^ faute de ne pas avoir d'antivirus sur mon Mac on ne m'y reprendra plus
avatar Anonyme (non vérifié) | 
@ le principe ignoto Si je l'ai ouvert et installé en donnant mon mot de passe...:/ J'espère vraiment qu'il n'y est plus
avatar xatigrou | 
Non non Xilix, MSE est mis à jour 1 à 2 fois par jours. Allez faire un tour sur le site de peghorse, ou av-comparatives.org et vous balaierez vos certitudes quand à l'efficacité de cet antivirus. Il n'y a pas que kapersky qui propose une analyse heuristique, c'est devenu la norme. Les logiciels que chaque "abonné" installe sont analysés (par exemple pour Norton un avertissement nous informe qu'on est éventuellement l'un des premiers à installer tel logiciel) et s'ils sont confirmés comme nuisibles, tous les membres de la communauté sont avertis : ceux qui n'ont pas téléchargé ce logiciel ne pourront plus le faire sans être copieusement arrosé d'alertes, et ceux qui l'ont déjà fait seront avertis (et MSE nettoie remarquablement bien l'ordi contrairement à Avast). Pour MSE (et beaucoup d'autres), lorsqu'un programme est installé l'antivirus communique avec le serveur et s'il s'agit d'un malware l'antivirus intervient. Ainsi pour peu qu'on soit sur internet la base de donnée n'a pas besoin d'être à jour. MSE ne m'a jamais trahi pour l'instant, le pire qu'il ait pu faire est de ne pas reconnaître un malware immédiatement (rare), mais il le faisait le lendemain. Par contre Norton est systématiquement dans les choux et reconnaît un fichier vérolé une semaine plus tard. Le seul inconvénient de MSE à mes yeux, c'est qu'il n'analyse pas un fichier entrant sans intervention manuelle. ça peut être très problématique si on ne fait pas gaffe, encore que la protection temps réelle est redoutablement efficace. Moi je fais systématiquement un clic droit sur chaque fichier téléchargé pour l'analyser. Et une analyse planifiée toutes les semaines. Et je reviens sur mac dès que je peux pour m'écarter du côté obscur de la force.
avatar Steeve J. | 
@ xatigrou : Tu ne peux pas généraliser avec ta seule utilisation et dans quelque temps tu vas déchanter car MSE est une vraie daube !!! Des nouveaux virus, malware, rogues, rootkits, keyloger, etc......arrivent tous les jours avec des nouvelles techniques et en utilisant des nouvelles failles et comme les PC sont de plus en plus puissant, on ne peux plus déceler à l'utilisation la présence d'un virus. Avast par exemple se mets à jour tout seul tous les jours mais la plupart du temps ses utilisateurs ne font pas de scan en plus de la surveillance et son gros défaut c'est que lorsque des fichiers système sont infectés et suprimés par l'utilisateur une fois sur deux l'ordinateur ne redémarre pas. D'ailleurs la plupart du temps les antivirus ne découvrent que des vieux virus et il m'est arrivé de tomber sur des PC avec plus de deux cent d'entre eux. Mais c'est vrai que le plus gros d'entre eux se trouve entre la chaise et le clavier, et qu'en donnant l'autorisation on leur ouvre toutes les portes du système. Mais sur Mac on est encore pour un moment à l'abris !!!
avatar Steeve J. | 
@ xatigrou : Ah oui j'ai oublié , c'est vrai que Norton c'est un des pires !!!
avatar Anonyme (non vérifié) | 
Bonjour, J'ai besoin de votre aide! Je me suis aussi faite avoir ;-) et je ne suis pas une caïd en informatique. Mon problème à moi c'est que je ne parviens pas à me débarasser de l'application car je ne parviens pas à la fermer!! Elle se trouve en haut de l'écran, à côté de l'icône de l'horloge. J'ai déjà essayé "forcer à quitter" mais Macdefender ne s'y trouve pas.... J'ai encore essayé deux ou trois choses mais rien n'y fait donc si vous avez des idées ou des tuyaux, un grand merci d'avance.
avatar Anonyme (non vérifié) | 
@ maloxx : Bonjour, j'ai aussi eu un Mac infecté par ce logiciel. Pour désactiver le logiciel, j'ai ouvert une session avec mon compte admin sans internet. Le logiciel n'est plus actif et tu peux le supprimer en le glissant dans la corbeille et en la vidant... Bon courage.
avatar dezmob | 
Ce genre de chose peut pousser Apple a rendre osx fermer a la manière d'ios. Pour les utilisateur basic, ça serais la solution...
avatar jbmg | 
Quand j'ai un peu de parano, j'utilise ClamXav : gratuit et il m'a trouvé quelques pishings qui étaient restés dans Mail. Il donne comme pishing des fichiers qui sont normaux...
avatar Anonyme (non vérifié) | 
Bonjour, mon mari a chopé macdefender aujourd'hui, j'ai lu vos propositions d'actions, j'ai tout mis à la corbeille et vidé, mais le dernier est apparemment l'application qui refuse de partir. il me marque: Impossible d’effectuer l’opération car l’élément « MyriadPro-SemiboldIt.otf » est utilisé. Pas de trace dans l'utilitaire. Mais les sites de cul continuent de s'ouvrir malgré que j'ai décoché l'ouverture automatique de site "fiable" Si quelqu'un peu me guider pas à pas ce serait sympa , nous somment tout nouveau utilitaires de mac et ne somment pas encore familiers. Merci de votre aide.
avatar Anonyme (non vérifié) | 
Bonjour, Pareil que fromlok, j'ai mis l'application dans la corbeille mais pas moyen de la vider. Etant novice sur mac, j'ai besoin d'aide pas à pas moi aussi !! Merci
avatar Anonyme (non vérifié) | 
Ouf c est bon ! En suivant les conseils de nemo77 j'ai reussi a m'en sortir !! Donc fromlok, si tu n'as pas encore essayé, ca a l'air de marcher. (Et si un abrutincompetent comme moi a pu y arriver, tu ne devrais pas avoir de probleme) :)
avatar Anonyme (non vérifié) | 
Bonjour à tous, N'ayant pas eu cette désagréable surprise, j'ai néanmoins lu beaucoup de post sur ce sujet.La méthode de nemo 77 semble unanime chez tous les infectés du monde entier. Mais simplement essayer de jeter à la corbeille et puis la vider semble insuffisant si ce "machin" c'est installé sur l'ordi.Ne pas oublier de décocher la case "ouvrir automatiquement les fichiers téléchargés" semble un moyen pour le machin ne s'installe pas automatiquement même si téléchargé.
avatar eden-eden | 
Bonjour à tous, Ma copine s'est faite avoir hier en installant le logiciel. Voici ce que j'ai fait. 1- Extinction forcée de la machine (on appuie longuement sur le bouton de démarrage). 2- Au démarrage le logiciel se lance tout seul, donc, aller dans les préférences système (menu pomme), puis dans "Comptes", puis dans l'onglet "Ouverture". Sélectionner MacDefender et cliquer sur le petit "moins" pour supprimer cette ouverture automatique au démarrage. REMARQUE : la fenêtre de MacDefender est au beau milieu de l'écran et masque toutes les autres : ne pas hésiter à la déplacer sur les bords de l'écran pour qu'elle gêne moins. 3- Comme on ne peut quitter le logiciel, il faut aller dans le "Moniteur d'activité" qui se trouve dans le dossier "Utilitaires", lui même placé dans le dossier "Applications". On lance "Moniteur d'activité" et on repère MacDefender dans la liste des opérations en cours, on clique dessus, puis sur "Quitter l'opération" (bouton rouge en haut). MacDefender quitte, mais il reste la petite icône en haut à côté de l'horloge. 4- Il faut ensuite supprimer le logiciel : Dans le Finder, faire une recherche : clavier "Commande+F" et taper "Macdefender". Apparaissent 2 références : MacDefender (le logiciel) et MacDefender (l'installateur). On sélectionne et on balance à la corbeille. 5- Par sécurité, j'ai fait une recherche des derniers fichiers modifiés : Dans le Finder taper "Commande+F" puis dans le menu où il y a "type" cliquer et aller dans "Date de dernière modification" puis taper dans les "1" derniers jours. Regarder les derniers fichiers modifiés et si certains semblent suspects, les supprimer. Vider la corbeille. Redémarrer l'ordinateur. Normalement, tout est entré dans l'ordre. Je ne sais pas si l'installation du logiciel installe d'autres fichiers qui porteraient d'autres noms et qui seraient dangereux. Il est pratique en effet d'avoir des logiciels comme Appcleaner qui virent les fichiers associés à l'installation d'un logiciel.

CONNEXION UTILISATEUR