OSX/NetWeirdRC : un nouveau malware en chantier

Florian Innocente |
Intego rend compte de la circulation d'un nouveau malware visant Mac OS X (10.6 et versions supérieures) ainsi que d'autres OS. Il serait toutefois suffisamment peu abouti à ce stade pour être véritablement nocif sur Mac. Baptisé OSX/NetWeirdRC, son mode distribution n'est pas encore très clair, explique Intego, mais une fois arrivé sur une machine, sa destination première est le dossier de lancement au démarrage.

Une fois activé, il appelle un serveur et attend des instructions en retour. Plusieurs actions sont susceptibles d'être lancées, assez classiques : capture d'écran, installation de fichiers, récupération d'informations système, liste des applications ouvertes, récupération des fichiers chiffrés contenant les mots de passe stockés par Thunderbird, Firefox, Opera et SeaMonkey.



Toutefois, ce malware ne sait pas se relancer automatiquement après le redémarrage de la machine, il faut le faire manuellement. Une fiabilité assez faible qui se manifeste aussi par son prix de vente. Intego affirme que son auteur le négocie à 60$ à peine, là où un autre malware récent et plus sophistiqué - OSX/Crisis - est proposé à 200 000$ (lire Malwares : un inédit sur Mac et un autre sur l'App Store).

Cette compatibilité Mac serait toute jeune, affirme un autre observateur, et elle pourrait s'améliorer à l'avenir, son ou ses auteurs s'y attachent, croit-il savoir.

Tags
avatar LR Monkey | 
Des articles d'auteurs pour les créateurs de virus, voilà une bonne raison de plus pour eux de continuer. Enjoy
avatar Shralldam | 
Et pendant ce temps, un virus de nouvelle génération, qui infecte Windows, Mac OS X et les machines virtuelles... Crisis qu'il s'appelle : http://www.eweek.com/c/a/Security/Newly-Detected-Crisis-Virus-Infects-Windows-Macs-and-Virtual-Machines-217207/
avatar lolo-69 | 
J'aimerais trop que les créateurs de ces saloperies soient chopés, et que leur matériel "de travail" leur soit introduit dans un endroit que la décence m'interdit de nommer!
avatar Orus | 
Je croyais que nos Mac avec l’extra-ordinairement fantastique OSX étaient à l'abri de tout virus ?
avatar lolo-69 | 
@ Orus: Certains croient bien en dieu, aux extra-terrestres...
avatar bugman | 
"Il serait toutefois suffisamment peu abouti à ce stade" J'espere que la mise a jour sera gratuite ! lol
avatar Steeve J. | 
J'adore le : " Il faut le relancer manuellement" Qui c'est qui va être assez con pour le relancer ?
avatar fousfous | 
Et la on est content de gatekeeper qui va interdire de lancer ce malware. À moins qu'il soit désactivé...
avatar damien83 | 
10.8 est touché aussi ? Orus : Mtl nous as déjà sorti ça a flashback XD , tout le monde c'est que ce n'est plus le cas mais de toute façon les hacker sont aussi beaucoup plus virulent qu'avant .... Mais on est toujours mieux protégé que sous windows ...
avatar T-Dii | 
-"cliquez ici pour lancer" -tiens? Mais à quoi ça peu bien serv*click*... Ah meeeeeerde!!!!
avatar Wolf | 
@Orus : Oui, mais si tu l'installe toi même et que tu le relance toi même avec tes petites mimimes à chaque fois, tu peut toi aussi infecter ton computer ...
avatar Sizo | 
@Steeve J. : par relancer manuellement, ils veulent dire que le serveur doit lancer la connexion pour l'
avatar Domsou | 
@Orus : 'Je croyais que nos Mac avec l’extra-ordinairement fantastique OSX étaient à l'abri de tout virus ?' Il n'est pas question de virus ici.
avatar C1rc3@0rc | 
[quote=Orus [23/08/2012 13:29] Je croyais que nos Mac avec l’extra-ordinairement fantastique OSX étaient à l'abri de tout virus ? [/quote] Faut pas croire n'importe quoi, ni telecharger n'importe quoi n'importe ou! La on parle d'un trojan, pas d'un virus, et en plus faut le lancer soi meme... De toute facon on va bien voir un jour un véritable virus comme ceux qui pullulent sur Windows finir par arriver sur Mac et iOS. Si le niveau requis pour réaliser ces vermines sur les OS de type Unix demande une vraie compétence, ce n'est pas impossible non plus. C'est une question de temps, et de motivation. Pour l'instant il est plus efficace de se baser sur l'ignorance ou la stupidité ( cad le trojan). T'imagines bien que le guignol qui se telecharge le derniers jeu sur des sites de cracking m'est pas une lumière et que qu'il va s'appercevoir trop tard que le keygen qu'il a lancé a expedié tous ses mots de passe et autres donnees confidentielles sur un serveur en russie ou en chine... Pareil quand tu recois dans ta boite mail un message du service technique de ton fournisseur (genre Google) qui t'explique que ton compte va etre désactivé si tu renvois pas un email avec ton nom, adresse, n° de mobile, identifiant, mot de passe et mail de récupération... et quand tu regarde l'expediteur tu voit que ca vient de Hotmail.com... C'est cretin, mais c'est efficace, y en a qui repondent vraiment a ça...
avatar fousfous | 
@C1rc3@0rc J'ai jamais reçu ce genre de message, dommage car je leurs auraient envoyé n'importe quoi. ^^
avatar grems | 
@Steeve J. On peut supposer que ce malware serait intégré à un autre logiciel que tu pourrais quant à lui relancer. Un utilitaire à la con, genre "TuneTonMac_2012.dmg". Je pense pas effectivement que quelqu'un relance manuellement malware.app volontairement :-)
avatar Frodor | 
Bonjour tout le monde, J'avais envoyé un mail il y cela deux semaines à MacGe, mais pas de réponses. Voici ce que j'avais rédigé; à côté NetWeirRC et Crisis font vieux jeu [b]devant ce virus multiplateforme (Linux, Mac, PC)[/b], vendu sur le marché noir à 60$ ... : " Un virus multiplateforme fait son apparition, et à ma connaissance, vous n'en avez pas parlé (même les sites anglais spécialisés). La menace est récente mais bien présente : http://www.xylibox.com/2012/07/netwire-first-multi-platform-rat.html Bien entendu, l'entreprise vend le logiciel comme une application permettant de générer un parc informatique, mais en réalité derrière tout cela, ce sont les pirates qui se font la main. Le virus semble s'injecter sur Linux et Mac avec Java. Au programme : reverse proxy (socks4/5), password recovery, file manager, keylogger, chaines de stocks) Voici les scans du virus (serveur créé) sur les différentes plateformes sans avoir été crypté auparavant : http://elementscanner.net//?RE=4494554be2f3b2ed41e94063caf07d9d (serveur .exe pour Windows) http://elementscanner.net//?RE=d28019bac81d72775ea6a59784316d3f (serveur .out pour Linux) http://elementscanner.net//?RE=1ee465306ead27c265b6e94089a81a47 (serveur pour Mac) Je pense que c'est assez rare pour être signalé. Même s'il est certain que les torrents sont des vecteurs de virus, un tel virus rend la vigilance bien plus importante : un mail, un simple document Word pourrait être alors un vecteur; accentué par son caractère multi-plateforme. Bordel, il y a de quoi faire un article dessus : la menace est bien présente avec un logiciel comme ça ! On entre dans une nouvelle ère où le changement d'environnement n'est plus une variable. Sur les forums spécialisés, tels que ceux des antivirus, personne n'a encore parlé d'une telle menace "
avatar Frodor | 
Bug :)
avatar liocec | 
@t-dii :
avatar liocec | 
@Frodor : mais non, tu as découverts le VU (Virus Ultime). Justement tu es le seul, les autres n'ont encore rien compris ou ne l'ont pas encore chopé !
avatar Patrick | 
Un truc de malade cet article !!! On nous laisse supposer que l'on connait l'auteur du Malware et en plus on connait même son prix de revente. Qu'attend t on pour l'arreter !!! Et deffaire son Malware !!! Même pire on prétend connaitre le prix d'autre Malware plus féroce. Comme si il y avait un marché avec des cotes financière suivant le degré de dégat produit. De mieux en mieux !!!
avatar lyon3 | 
C'est sur que 60 € c'est peu par rapport à ce qu'Intego a payé pour le développement de crisis
avatar Bigdidou | 
@lolo-69 "J'aimerais trop que les créateurs de ces saloperies soient chopés, et que leur matériel "de travail" leur soit introduit dans un endroit que la décence m'interdit de nommer" Cul ? Anus ? Rectum ? Nomme les ces endroits, puisque tu les évoques explicitement. C'est comme les gens qui écrivent merd*.
avatar Bigdidou | 
J'ai pas tout compris. C'est un virus qu'il faut acheter, puis installer et lancer pour infecter son ordinateur ? C'est livré avec un bon pour une consultation psy gratuite ?
avatar Funigtor | 
@lolo-69 : 'et que leur matériel "de travail" leur soit introduit dans un endroit que la décence m'interdit de nommer!' J'espère qu'ils ne bossent pas sur un iMac 27"

CONNEXION UTILISATEUR