Apple met à jour Xprotect contre le malware iWorm

Florian Innocente |

Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X. Le fichier qui contient la liste des définitions de ces parasites contient une référence à iWorm, le nom du dernier malware en date, détecté au début du mois par Dr.Web (lire Un malware affecterait 17 000 Mac).

Xprotect est logé dans le dossier système, on peut en consulter le contenu avec la commande de Terminal suivante :

more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist

Si cette référence n'y figure pas encore, il faudra attendre que Xprotect soit mis à jour par le système. La procédure est automatique, sans intervention de l'utilisateur.

avatar BitNic | 

Pour voir aussi les Malwares sous OS X, il y a l'indispensable Onyx :

Dans "Informations" → "Protections" : Dans la colonne de gauche "Malwares"

avatar thierry37 | 

Est-ce que Xprotect fait le ménage ?

Ou seulement empêche l'installation du malware ?

avatar petergab | 

D'ailleurs les Malwares se multiplient, ils ont trouvé la porte d'entrée, la naïveté (normale d'un utilisateur classique, ce n'est pas une critique...). Des sites qui demandent de mettre à jour Java, et hop un malware. Et on se retrouve avec des fenêtres de pub' dans tous les sens. Cette semaine j'ai trouvé les malwares : Genio, Gophot, MacKeeper et PalMall dans plusieurs machines.
Ils se retrouvent en tant qu'installeurs dans le dossier Applications (MacKeeper et Palmall), s'installent dans les extensions des navigateurs (Safari, Firefox, Chrome) et finissent par mettre "à genoux" le Mac qui n'avance plus.
Le rythme des parutions s'accélèrent, même Intego a du mal à suivre, PalMall n'était pas détecté hier...

avatar MA8306 | 

@petergab :
Exact ! J'ai trouvé MacKeeper sur un mac

avatar trolloloI | 

Mais nan, puisqu'on vous dis que le magnifique mac est à l'abri de tout les soucis et que seul les pcs sous windaube sont sensible à ça. Que ce n'est jamais de la faute de l'utilisateur volontairement ignorant, blablabla.

Un bon retour de baton qui va grandir avec la pdm. Surtout sur un os avec un système de "protection" aussi ridicule. :)

avatar pickwick | 

AdwareMedic fait bien le ménage

avatar Vaudan (non vérifié) | 

Dire que mackeeper est un malware est quand même légèrement abusif.

avatar patrick86 | 

"Dire que mackeeper est un malware est quand même légèrement abusif."

Toujours est-il que c'est une belle arnaque.

http://www.securitemac.com/mackeeper.html

avatar oomu | 

merci de le rappeler.

avatar petergab | 

je précise que je ne parle pas du logiciel MacKeeper
il n'est pas impossible que le malware s'appelle Makeeper sans le "c"
pas d'amalgame entre les deux...

avatar Ibiscus | 

Avec Onyx, je vois dans la liste Malwares la reconnaissance non pas de un mais de trois Malwares OSX.iWorm, soit :
OSX.iWorm.A
OSX.iWorm.B
OSX.iWorm.C

Il y a donc 3 variantes.

avatar frankm | 

Hyper inquiet Onyx me dit que la dernière mise à jour date de mai 2014 !

avatar Benj2000 | 

Il me semblait avoir lu ici une commande pour forcer la mise à jour xprotect, non?

avatar caissonbulle | 

Excellente idée, pour ma part, je n'ai rien trouvé sur la toile... ou alors, cela m'apparaît être très obscure !...

Mon fichier de description date du 6 juin 2014 : n'y aurait-il pas eu d'autres mises à jour dans l'intervale ? Ai-je bloqué des droits d'accès (Little Snitch) ?

avatar FollowThisCar | 

"une commande pour forcer la mise à jour xprotect"

En effet, il suffit d'appuyer simultanément sur Control, Alt, Command + Eject.

avatar f-factor | 

Merci Patrick86 pour cette info !

C'est une magnifique arnaque en effet ! Déjà que sans être installé il pourrit déjà les sites web...

avatar Orus | 

Pour "Genio", je rappel que MacG à servit de vecteur en publiant cet article flatteur :
https://www.macg.co/2011/02/genieo%C2%A0-page-daccueil-personnalis%C3%A9e-et-automatique-43779
C'est vraiment le comble.

avatar MA8306 | 

@Orus :
Ptdrrrrr c'est clair !

avatar joneskind | 

@Orus

Heureusement que t'es là pour rappeler que MacGé a fait une erreur il y a 3 ans et demi...

T'es pathétique.

avatar caissonbulle | 

LE TITRE DE LA NEWS : “Apple met à jour Xprotect contre le malware iWorm”.

Ah, tu te dis : “En voilà une nouvelle qu'elle est bonne... comme nouvelle !...

Alors, tu cliques sur le lien afin de consulter le précieux article.

Et là, tu lis la première phrase (de l'article) : “Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X”.

Ah tiens, mais alors on m'aurait menti à l'insu de mon plein gré !...

Oops, ça me rappelle les unes aguichantes d'un magazine Mac (encore vivant) qui donne en contenu une pauvre demi-page avec des informations parcellaires et recuites.

Bon, tu te dis, je vais lire tous les posts (y-a toujours quelque chose à retenir des intervenants) pour avoir l'information tant attendue... mais non, rien, que'chip, nada, peaudeballe, zéro, potd'zob !...

Heureusement que nous sommes le jour du Seigneur et que, Tolérance, Oh, nous te devons, Grand MacGe.

Paix et alacrité !... en attendant votre prochaine alerte sur l'effective mise à jour du bouzin.

Bon dimanche à toutes et à tous... ;-)

avatar joneskind | 

@Caissonbulle

Ne le prends pas mal, c'est vraiment pas du tout l'objet de ma réponse à ton commentaire mais c'est juste que tu emploies des expressions imagées que j'aime bien mais comme tu les écris mal on comprend plus ce qu'elles veulent dire. Et du coup c'est dommage !

Alors corrige moi si je me trompe mais

Que'chip : tu voulais dire Queue de chie non ?
Potd'zob: tu voulais certainement dire Peau de zob ?

Encore une fois c'est pas du tout pour faire mon maître Capello du dimanche, mais juste à des fins disons de culture générale quoi !

avatar caissonbulle | 

Oh Désolé joneskind de t'avoir fait perdre ton temps : l'essentiel de ce que j'ai écrit n'a que très peu d'importance et ne demande aucune analyse particulière. C'est juste une formulation pour enrober le tout... et masquer un peu un léger et petit agacement. Aucune exégèse à consacrer ici...

avatar FollowThisCar | 

Non mais bon, la bonne nouvelle c'est qu'une solution est en route et que le problème sera réglé incessamment sous peu.

avatar Moonwalker | 

Ça vous empêchera de l’installer dans un moment d’égarement mais ça ne vous en débarrassera pas si vous avez déjà fauté.

avatar Barnadebe | 

Bonjour,
Je n'étais jamais allé voir les mises à jour de XProtect mais en checkant XProtect.meta.plist et XProtect.plist je me rend compte qu'ils n'ont jamais été mis à jour. Je ne comprends pas pourquoi. Et surtout j'aimerais bien forcer la mise à jour. Si je compare à la version du site apple c'est flagrant, la mienne est quasiment vide. Y a-t-il un moyen de mettre à jour ? Quelq'un a-t-il une explication ?

C'est d'autant plus bizarre que je ne suis pas un power user et que mon MacBook Air sous maverick n'a subit aucune bidouille de ma part.

---
Edit : Dernière date de motif des deux fichiers en question : 16 mai 2014

avatar frankm | 

@Barnadebe :
Idem pour moi. Sous Mavericks impossible de forcer la mise à jour comme sous les autres.
Peut-être en essayant de décocher puis cocher les cases dans préférences système puis AppStore.
J'essaye ça ce soir

avatar caissonbulle | 

J'me sens moins seul, nous sommes au moins deux...

Dois-je soupçonner que Little Snitch a été mal configuré par mes soins sur ma machine et que j'ai bloqué des mises à jours : JE N'EN AI AUCUNE IDÉE !

avatar frankm | 

@caissonbulle :
Je n'ai pas Little Snitch.
Dernière mise à jour en mai 2014

avatar Barnadebe | 

Pas little snitch non plus et j'ai un peu décoché puis recoché les items dans PréférenceSystème / Appstore, on verra bien, je ne sais pas s'il y a un temps de propagation avant que ces motifs soient prises en compte.

J'ai tenté aussi d'appeler un conseiller applecare soyons fou mais ça a raccroché au bout de 17 minutes sans même qu'il ait compris mon problème ("Mais monsieur pourquoi voulez vous installer cette application XProtect ?" ...)

avatar frankm | 

@Barnadebe :
Je vais aussi me faire l'AppleCare demain soir si pas de mise a jour d'ici là !

avatar frankm | 

Dans un blog j'ai lu qu'il se peut que sous Mavericks Xprotect soit remisé ailleurs dans le système. Empêchant ainsi les malware de modifier le fichier Xprotect

avatar frankm | 

J'ai trouvé qu'on pouvait télécharger les fichiers Xprotect pour 10.6 10.7 10.8 mais pas pour 10.9.
Il semble que depuis 10.9.2 il y ait eu un changement pour Xprotect

avatar caissonbulle | 

Lien de téléchargement d'un updater pour Xprotect :

http://swcdn.apple.com/content/downloads/25/16/031-08850/xuavybw3pll44md3r5ijzzxg85kb7jxa07/XProtectPlistConfigData.pkg

Une fois le patch appliqué, Onyx référence bien la base Xprotect en version 2050.

avatar frankm | 

En effet, ça a marché !
Reste à surveiller les mise à jours au fil du temps...

avatar Barnadebe | 

Merci pour l'astuce, la bdd semble effectivement à jour maintenant.

avatar frankm | 

@caissonbulle :
Comment avez-vous trouvé ce petit patch ?
Je sens qu'à l'avenir il faudra à nouveau utiliser un truc semblable !

avatar caissonbulle | 

En faisant des sauts de puces sur le web, de liens en liens. Un coup de bol quoi !...

avatar frankm | 

@caissonbulle :
Merci. C'est bien ça le problème ! A l'avenir si XProtect ne se met pas à jour il faudra à nouveau chercher un patch.

CONNEXION UTILISATEUR