Flashback : 600 000 Mac infectés ?

Christophe Laporte |
Flashback est-il le premier malware à connaitre "un certain succès sur Mac" ? Alors qu'Apple a enfin bouché la faille qu'il exploitait dans Java (lire : Mise à jour Java pour OS X Lion et Snow Leopard), l'éditeur russe d'anti-virus, Doctor Web, affirme que les différentes variantes de Flashback ont infecté plus de 550 000 Macintosh. Sur Twitter, l'éditeur a dans la foulée revu ce chiffre à la hausse et parle de 600 000 Mac touchés.

Pour arriver à cette estimation, Dr. Web se base sur un identifiant unique qui est transmis par la machine infectée au serveur distant. Si l'on en croit les statistiques de l'éditeur, Flashback "cartonne" dans quatre pays. 56,6 % des machines infectées sont situées aux Etats-Unis. On trouve ensuite le Canada (19,8 %), le Royaume-Uni (12,8 %) et l'Australie (6,1 %). Dr. Web affirme avoir recensé 274 bots opérant depuis .... Cupertino.



De cette histoire, l'éditeur en veut pour preuve que le risque zéro en matière de sécurité n'existe pas sur Mac. Selon "des sources" de Dr Web, il y aurait des liens pointant vers Flashback sur plus de quatre millions de pages web.

Rappelons que ce malware, une fois en place, récupère un code depuis un serveur distant et l'injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l'utilisateur.

F-Secure propose une méthode pour éradiquer Flashback à l'aide du terminal dans le cas où votre machine aurait été infectée.

Sur le même sujet :
- Malware : Flashback évolue à nouveau
avatar OSX | 

Pour voir si on est infecté, dans le terminal, tapez:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si la réponse est pour les 2 lignes: The domain/default pair of ..... does not exist c'est que c'est clean.

avatar titou2307 | 

@ OSX: super merci! c'est clean.
Et pour ce qui est de la mise à jour? est-ce que je peux l'installer?

avatar jaspevert | 

@OSX : Merci pour les instructions ;)

avatar OSX | 

De rien :)
C'est étrange que personne ne sorte un outil pour vérifier si y a infection et nettoyer automatiquement.
La méthode manuelle présentée par Fsecure est impraticable pour les non pro Mac.

avatar lmouillart | 

@OSX
"C'est étrange que personne ne sorte un outil pour vérifier si y a infection et nettoyer automatiquement."
Bien c'est le but des antivirus ...

Comme les gens accusent les éditeurs de ne pas proposer de méthode pour les supprimer souvent ils proposent :
Des outils spécifique et dédié uniquement à un type d'infection et gratuitement
Des procédure pour sécurisé le système
Des procédure pour supprimer les infections manuellement lorsque c'est possible

avatar spiron | 

Juste une question : Est-ce que l'infection survient seulement avec Safari ouest-ce que c'est possible d'avoir été infecté en utilisant Chrome ?

avatar OSX | 

Une nouvelle mise à jour java est arrivée!

avatar Ludavid21 | 

Aucun risque pour moi :) J'avais XCode d'installé, le virus s'auto-détruit si il trouve cette application, de même pour Skype, je ne sais pas pourquoi par contre...

avatar Philactere | 

"Rappelons que ce malware, une fois en place, récupère un code depuis un serveur distant et l'injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l'utilisateur."

Ce qui veut dire ? Qu'il serait capable de détourner les données saisies dans un champ de formulaire (typiquement identifiant / mdp) en les envoyant à un autre serveur en modifiant le code de la page web en local ?
Si c'est le cas c'est en effet très efficace et sournois, le pishing à côté fait figure d'amateurisme.

avatar titou2307 | 

Bonjour à tous,

je me permets de réitiérer ma question:

J'ai fait une recherche avec la Pomme pour trouver des mises à jour. Voilà ce que j'ai trouvé:

"Mise à jour 7 Java pour Mac OS X 10.6 apporte des améliorations de compatibilité, sécurité et fiabilité en mettant à jour Java SE 6 avec la version 1.6.0_31".

Dois-je l'installer?

Merci d'avance pour vos réponses!

:)

avatar Philactere | 

@titou2307 :

Bin par défaut une mise à jour comprenant des patch de sécurité ce n'est jamais mauvais de l'installer...à mois que tu ais un conflict connu de compatibilité entre une mise à jour et autre chose je ne vois vraiment pas pourquoi se poser la question !

Maintenant si c'est pour te protéger de ce malware que tu poses la question alors oui, installe-la puisque le malware exploite une faille Java que justement cette mise à jour comble.

J'avoue être un peu perplexe face à ta question...

avatar titou2307 | 

C'est exactement la réponse que j'attendais. Etant donné que la description de la mise à jour n'est absolument pas explicite quant au malware Flashback, je posais la question. Merci pour les précisions!

avatar titou2307 | 

Autre question:

Voilà un article que je viens de trouver:

550 000 Mac infectés par le cheval de Troie BackDoor.Flashback.

S'agit-il du même sujet ou bien est-ce un nouveau malware?
Dans ce cas, comment fait-on pour savoir si l'on est infecté?

Merci par avance amis Appléistes!

avatar marctiger | 

C'est le même, pour le reste c'est indiqué juste au dessous de ton post précédent, page 4 (entre-autres). :-)

http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

PS : quand c'est une mise à jour Système, donc par "Mise à jour de logiciels", tu installes d'office, ce sont celles d'Apple.

avatar xeonos | 

Bonjour à tous,
j'ai ça comme message :

Last login: Fri Apr 6 22:38:08 on console
iMac-de-????:~ ????$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-07 14:31:51.287 defaults[1155:707]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac-de-????:~ ????$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

que dois je faire ??

avatar marctiger | 

Rien... tu n'as rien. :-)

Relis la page 4 par exemple c'est expliqué. Et ici aussi :

http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

avatar Drako | 

Rançon du succès grandissant du monde mac ....

avatar Lucieaus | 

Ca y est, on a enfin notre Sasser.
Ou pas.

avatar Sizo | 

Quels sont le symptômes ?

avatar madaniso | 

Oué !!! C'est parti pour les trolls !!!

Moi j'étais sur PC avant j'ai jamais eu de soucis et j'en aurai pas sur Mac non plus. Faut pas faire n'importe quoi avec sa machine c'est tout.
C'est comme pour le sexe, on laisse pas sa B... trainer n'importe où !

avatar Frodor | 

Et donc il y a des anti-virus sur le marché capable de se protéger avant que celui-ci ne soit installé ?
Une sorte d'av qui le decterait en runtime ?

De même, pour les personnes infectées, on peut voir quelque chose d'anormal dans la liste des connexions en cours par exemple ? Je ne sais pas quoi mais si le virus communique à distance avec un C&C (Comprenez Centre de Commandes), il y a moyen de blacklister l'ip du serveur communiquant.

avatar Frodor | 

@madaniso :
ici, il faut savoir qu'il s'agit d'une exploitation dans le navigateur avec une iFrame. Du coup, tu visites un site tranquillement et sans que tu ne le saches, tu es infecté.
C'est sournois. Les virus ont évolué, il ne faut plus télécharger un fichier pour être systématiquement infecté ...

avatar laurent_iMac | 

Saint Jobs ... priez pour nous, pauvres pécheurs.
Montre-nous la voie qui nous protégera de ces malfaisants.
Bon ... comme les prières ne marchent pas ... AU SECOURS ... nous sommes un peu dans la M....

avatar BS0D | 

+1 pour drako.

avatar USB09 | 

Surf plus sur mon Mac. C'est grave docteur ?

Pages

CONNEXION UTILISATEUR