Malware : Flashback évolue à nouveau

Florian Innocente |
Une variante du malware Flashback est en circulation, avec toujours comme vecteur de propagation une faille non comblée dans la machine virtuelle Java.

[MàJ@22h45] : la faille a été comblée.

Flashback.K peut être récupéré après la visite d'un site Web et s'installer même si l'utilisateur ne fournit pas son mot de passe administrateur lorsqu'une fenêtre l'y invite. Une fois en place, ce malware récupère un code depuis un serveur distant et l'injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l'utilisateur.

D'après les analyses de F-Secure, si aucun mot de passe administrateur ne valide l'installation de ce malware, il se loge dans le système par d'autres moyens et dès son premier lancement il va infecter les applications ouvertes par l'utilisateur. Toutefois, l'observation de son fonctionnement montre qu'il vérifie au préalable si Skype, Word ou les suites Office 2008 et 2011 sont présents sur la machine. Si tel est le cas, ce malware s'efface automatiquement. Il ne serait pas compatible avec ces applications et plutôt que de les faire planter et de prendre le risque d'éveiller les soupçons de l'utilisateur, Flashback.K préfère passer son tour.

La machine virtuelle Java (SE6 dans sa dernière version) n'est pas installée par défaut sur Lion, mais elle l'était précédemment. On peut la désactiver dans les préférences de Safari (onglet Sécurité). Et ce, en attendant un correctif (déjà distribué depuis quelques semaines pour Windows).

Tags
avatar Lucieaus | 
Le Malware qui se barre dès qu'il détecte des logiciels appartenant à .... Microsoft. Il ne tient pas à nous enfoncer encore plus, certainement.
avatar Jeje68 | 
C'est un poisson d'avril ?
avatar Jeje68 | 
On installe un virus skype qui nous protège de l'autre virus . Ou soit c'est microsft qui veut qu'on ce servent davantage de ces produit sur nos Mac ?
avatar Le_iPodeur | 
Donc Office Mac est un antivirus ? C'est surement ça l'effet Wahou !
avatar Lucieaus | 
Il y a bien un pare-feu dans OpenOffice d'après certains ministres. Donc qu'Office soit un Antivirus, c'est possible.
avatar lmouillart | 
@Le_iPodeur c'est assez logique après tout, OpenOffice est bien un parefeu.
avatar Jeje68 | 
Avec MSG ça fonctionne ?
avatar magogg | 
Une petite question: pour sécuriser sa machine, on désactive Java dans les préférences de Safari, mais quid de JavaScript? Ce truc doit bien avoir un rapport avec Java vu son prénom et l'exécution de Scripts vu son nom, non? L'aide de préférence sécurité parle d'une technologie facilitant le fonctionnement des boutons et formulaires, mais pas du rapport avec Java. Si quelqu'un peut éclairer ma lanterne...merci.
avatar reremoon | 
@ magogg Pas d'inquiétude coté Javascript. Ne le désactive pas, énormément de sites font appel à Javascript. Malgré le nom qui ressemble, Java et Javascript n'ont rien avoir. Javascript est fait pour lancer des scripts sur des pages web côté client (sur la machine de l'utilisateur), mais uniquement dans le cadre du navigateur. Java est une application tierce qui peut être appelée par des applets Java dans les pages web, mais qui a accès à tout le système (même hors du navigateur) donc c'est beaucoup plus sensible.
avatar magogg | 
@ reremoon Merci pour ces explications.
avatar bugman | 
@ Le_iPodeur : Anefet, elle avait (presque) vu juste ! OO'
avatar melvyn71 | 
Microsoft , l'antivirus que votre mac préfère
avatar Liam128 | 
Ils sont bien quand-même, les virus, sous Mac. "Heu, ben, j'ai peur de faire planter votre machine, alors je me tais. Pardon pour le dérangement." En tout cas, dur de ne pas penser au pare-feu OpenOffice effectivement. :D
avatar applejuice | 
Comment savoir si on est infecté ?
avatar lmouillart | 
@applejuice Dans le terminal : defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES defaults read /Applications/Safari.app/Contents/Info DYLD_INSERT_LIBRARIES defaults read /Applications/Firefox.app/Contents/Info DYLD_INSERT_LIBRARIES Si le résultat est du style : "The domain/default pair of (Blah blah blah, LSEnvironment) does not exist" , alors c'est bon.
avatar Ielvin | 
@bugman : je croyais que c'était une erreur de frappe, mais c'est "en effet". Si s'en est encore une, excuse moi,
avatar Ielvin | 
@lmouillart : '@applejuice Dans le terminal : defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES defaults read /Applications/Safari.app/Contents/Info DYLD_INSERT_LIBRARIES defaults read /Applications/Firefox.app/Contents/Info DYLD_INSERT_LIBRARIES Si le résultat est du style : "The domain/default pair of (Blah blah blah, LSEnvironment) does not exist" , alors c'est bon.' Bon dans quel sens ? Safe ou infecté ?
avatar macouille007 | 
@ielvin A ton avis, "qfhqmdà"çé!'é0mqiuh" does not exist (le fichier n'existe pas) alors c'est bon :p

CONNEXION UTILISATEUR