Repérer et désinstaller les faux anti-virus Mac

Florian Innocente |
http://static.macg.co/img/2011/4/macprotectorabout-20110523-143902.jpg

Depuis une vingtaine de jours, un faux anti-virus pour Mac se promène sur le web et sur les machines de certains utilisateurs. Des derniers jours encore des lecteurs nous ont dit y avoir été confrontés. Il est bon de refaire un point sur le sujet et sur la manière de se débarrasser de cet importun.

Un virus ou un anti-virus ?
Précision indispensable, on ne parle pas ici d'un virus. Baptisé selon les cas MacDefender, MacSecurity ou encore MacProtector ce logiciel se fait passer pour un anti-virus. Il a été repéré le 2 mai dernier par Intego sous le nom de MacDefender, mais au fil du temps il se présente sous d'autres appellations.

Son objectif est de vous faire croire que votre machine est infectée et de vous amener, volontairement, à acheter en ligne la version complète du logiciel, seule capable de traiter les virus prétendument découverts. Il y a tromperie, mais l'opération se fait à découvert. Ce qui peut endormir la méfiance de quelques-uns. Il s'agit donc in fine de vous pousser à fournir vos informations de carte de crédit.

http://static.macg.co/img/2011/4/macdefenderaa-20110523-115556.jpg

Comment fonctionne-t-il ?
Après avoir été téléchargée, cette application s'installe comme n'importe quelle autre. Mac OS X demande le mot de passe utilisateur et à l'issue de cette étape, une nouvelle icône apparaît dans la barre des menus - sans son article Quitter, évidemment- et aussitôt ce MacProtector se met en action.

http://static.macg.co/img/2011/4/menumacprotector-20110523-120308.jpg

Sans surprise, il va vous signifier la présence de virus infectant votre Mac. On reconnaîtra aux développeurs de cette application d'avoir bien fait les choses (ne manque qu'une traduction). Elle peut sans mal être confondue avec un outil légitime. Elle propose un moniteur d'activité intégré, des options de scan… toutes choses qui au final "font vrai".

http://static.macg.co/img/2011/4/macprotectorvirustrouves-20110523-120145.jpg

Mais dès lors que l'on veut nettoyer son Mac, le bouton Cleanup va vous renvoyer sur le formulaire d'achat, avec un choix de licences et tous les champs nécessaires à la saisie de ses infos de carte de crédit.

Comment désinstaller l'application ?
Il faut d'abord forcer l'application à quitter puisqu'elle ne propose pas cette option à l'utilisateur.

- Lancez Moniteur d'activité (il est situé dans le dossier Applications > Utilitaires)

- Vérifiez que le menu à droite affiche "Toutes les opérations" et dans le champ de recherche "Filtre" tapez le nom de l'application (MacProtector dans notre cas, mais cela dépend de la variante que vous avez téléchargée)

http://static.macg.co/img/2011/4/moniteurdactivite-20110523-150141.jpg

- Sélectionnez l'opération qui apparaît (elle désigne l'application en activité) et cliquez le bouton "Quitter l'opération" puis confirmez et quittez Moniteur d'activité.

- Allez ensuite dans Préférences Système, puis Comptes puis Ouverture et supprimez la référence à MacProtector dans les éléments devant se lancer au démarrage

- Enfin, pour supprimer l'application, mais aussi ses dépendances installées dans le système, le plus simple est d'utiliser le désinstalleur AppCleaner [1.2.2 - 1,9 Mo - Mac OS X 10.4 - VF - Don]. Faites glisser sur sa fenêtre l'application MacProtector, quatre éléments seront listés, cliquez sur Supprimer et videz la corbeille
http://static.macg.co/img/2011/4/macprotectordesinstall-20110523-134842.jpg


Comment cette application est arrivée là ?
On peut récupérer cette application après une simple recherche sur Google Images. Et nul besoin d'aller chercher des contenus pornographiques. L'un de nos lecteurs par exemple recherchait au départ des fonds de coloriage pour enfants. Arrivé sur le site en question une seconde fenêtre s'est ouverte dans Firefox avec un contenu singeant celui du Finder et alertant de la présence de virus. Tout clic à l'intérieur de cette page déclenche le téléchargement du faux anti-virus.

http://static.macg.co/img/2011/4/safarivirus-20110523-135521.jpg

http://static.macg.co/img/2011/4/fichiertelecharge-20110523-135616.jpg

La technique est connue sous le terme de SEO (Search Engine Optimization) Poisoning. Cela consiste à utiliser une faille d'un serveur ou mettre à profit des mots de passe volés de serveurs FTP, afin d'y déposer un script. Celui-ci va générer à la volée des pages web destinées à être repérées et indexées en bonne position par Google. De faux sites sont mis en place pour attirer Google vers ces pages dynamiques. Le contenu de celles-ci se basera sur des recherches populaires afin de multiplier les chances d'être trouvées par les internautes. En cliquant sur l'image désirée, l'internaute va déclencher un script qui, pour reprendre notre exemple, affichera une nouvelle page dans le navigateur, avec l'alerte anti-virus, adaptée selon que vous arrivez depuis un PC ou un Mac.

On a donc affaire à une "banale" tentative d'extorsion de données personnelles au moyen d'une application donnant tous les gages, ou presque, de sérieux. Son existence ne traduit en rien une apparition subite de virus sur Mac OS X. Un vétéran du Mac ne se laissera peut-être pas prendre - la menace virale restant plus que faible - mais tout le monde n'a pas cette connaissance de la plateforme.

En se comportant comme une application normale et en jouant sur les ressorts de la peur d'une infection virale, celle-ci peut aisément tromper des individus. D'autant plus facilement que l'utilisateur est lui-même responsable, de bout en bout, de l'installation du logiciel. D'aucuns, rompus à à l'outil informatique et à ses codes, oublient souvent que pour d'autres utilisateurs, toutes ces choses, restent complexes sinon mystérieuses. Ce sont précisément ces utilisateurs, ceux qui hésitent à aller à l'encontre ce qui est marqué à l'écran, qui risquent de tomber dans le piège. Aidés en cela que depuis la recherche sur Google jusqu'à la mise en route du logiciel, aucune alerte inhabituelle n'a retenti…

Sur le même sujet :
- MAC Defender : le malware qui embarrasse AppleCare
Tags
#sécurité #antivirus
avatar Anonyme (non vérifié) | 
J'adore le mépris des mister_je_sais_tout envers les "cons qui ne savent pas", c'est amusant. Et grotesque. Surtout grotesque. Que celui qui n'a jamais fait d'erreur de débutant en débutant dans un domaine, quel qu'il soit, jette la première pierre, comme aurait pu dire l'autre.
avatar jodido | 
@PonkHead 'tain mais à quel moment on a dit que l'on a jamais fait d'erreur? il y a un principe qui s'appelle 'assumer' on peut aussi assumer d'être con, ça consiste à éviter de reproduire les erreurs et du fait d'anticiper les prochaines. non tu as raison défendons le fait de vouloir rester con
avatar BeePotato | 
@ oomu : Tout à fait d’accord que l’interface utilisateur de l’outil informatique doit encore être modifiée en profondeur pour être réellement mise à la portée du grand public — le vrai grand public, celui qui ne s’intéresse pas aux ordinateurs mais juste à une petite partie de ce qu’ils permettent de faire. Et, comme d’autres l’ont déjà fait remarquer, l’iPad est un grand pas dans cette direction. Mais ce que certains ici reprochent aux gens qui se sont laissés avoir par ce truc, ce n’est pas de s’être laissés abuser par la partie informatique de la chose — le message qui les convainc qu’il faut télécherger ce machin puis l’installer. Ce qui est reproché, c’est d’être assez naïf pour continuer à marcher dans l’arnaque même quand le logiciel commence à demander un numéro de carte bleue. Là, normalement, la plupart des gens devraient avoir un cortale dans la porte-monnaie qui les pousse à réfléchir une seconde. Pour ceux qui ne font même pas cet effort, on ne peut que dire « tant pis ».
avatar BeePotato | 
Au sujet de l’article : puisque la partie « Comment désinstaller l’application ? »  s’adresse principalement à des utilisateurs grands débutants en informatique, sûrement intimidés par l’idée d’utiliser un outil tel que la Moniteur d’activité, il aurait été intéressant de donner une procédure plus adaptée à ce public. À savoir : mettre l’application MacProtector/MacDefender à la corbeille, puis redémarrer. Après redémarrage, on pourra vider la corbeille. Vu le mode d’action de ce machin, c’est amplement suffisant pour s’en débarrasser. Les autres fichier trouvés par le « désinstalleur » AppCleaner ne sont que des reçus d’installation et un fichier de préférences, totalement inoffensifs et n’occupant que quelques kilo-octets sur le disque. Pas la peine d’embêter l’utilisateur lambda avec ça — tout au plus peut-on signaler leur existence pour que d’autres utilisateurs, plus maniaques quant aux fichiers présents sur leur système, puissent les effacer.
avatar BeePotato | 
@ curly bear : « Je l'ai en effet croisé hier. Il a été téléchargé automatiquement (je n'ai même pas eu l'impression de cliquer sur la page.) Heureusement, les fichiers zippés ne se de-compressent pas automatiquement sur mon Mac.., » Notons que même s’ils étaient décompressés automatiquement, ça n’aurait strictement rien changé. Ce machin ne se serait pas installé tout seul comme par magie. @ MarcoAix : « En tous cas, pour ne pas installer n'importe quoi sur son Mac (puisque c'est le seul moyen reconnu d'y implanter un des 4 ou 5 virus expérimentés) il est intéressant de décocher dans Safari/Préférences/Général "Ouvrir automatiquement les fichiers "fiables" ... qui arrive coché avec chaque nouvelle version de Safari ... tout comme chaque Mac arrive avec le Firewall désactivé Too bad, so sad ;-) » Même remarque : la première option ne change rien dans le cas de ces malwares qui demandent à l’utilisateur de les installer puis de les exécuter. Quant au firewall, dans ce cas précis, il n’aurait eu aucune utilité non plus.
avatar Anonyme (non vérifié) | 
Ouais jodido, attaque ! kss ! kss! Hé, hé. Mais avant d'aboyer, apprend à lire. Mon message était un appel à une certaine modération dans les propos. C'est trop facile de traiter les autres de con à tout bout de champs. Il n'était absolument pas question d'assumer ou pas ses erreurs. Tiens, d'ailleurs, tu viens d'en faire une d'erreur, une erreur d'interprétation, tu dois être un noob en lecture, non ? Souhaites-tu que je te traite de con ? Vas-tu assumer ?
avatar bugman | 
Beau concentré de tachons dans les commentaires de l'article (et encore j'ai pas tout lu (lulu)). Ca promet pour le reste ! Edit : bon, bien j'ai tout lu. :/ (ça vole pas haut quand même hein !)
avatar gvfutureofcomputing | 
Se virus se balade sous Windows aussi et sur Windows Vista il aparai dans la renaitre du bas a droite et impossible de le desinstalée mai il est possible
avatar Rufus | 
Enfin, "noob" ou pas, cela prouve ce que tout le monde dit depuis des années : Mac n'est pas à l'abri des malwares. C'était simplement une question de part de marché. Si les profits générés par cette tentative sont intéressants, les malwares vont se multiplier, attaquant une population inexpérimentée face à ces menaces. Je n'ose imaginer le carnage parmi la population Mac qui est principalement constituée de "noobs".
avatar Anonyme (non vérifié) | 
Et bien c'est vachement sympa la communauté Mac, j'ai attendu 60 boules pour me décider à acheter ce que je pense être tout de même une belle bête, comme on dit nous , les guitareux, bon alors merci pour la personne qui est nouvelle, qui s'achète le Mac, qui découvre qu'en fait il peut y avoir problèmes, l'argument du vendeur était,"pas de virus", bon je sais, c'est un trojan, mais quand même, je suis un "noob" donc, quoique il faudrait bien réfléchir à la traduction. J'arrive dans le monde ordi, et d'autres aussi, tous les jours, tant mieux pour le monde Mac, comment voulez vous, les prétentieux à qui il peut arriver des galères aussi, non ?, que l'on soit du jour au lendemain au courant de tout ça, ou alors proposez des stages intensifs et très rapides. Peut être un" bisutage",aussi le temps que vous y êtes!!! (référence à noob)... Comme je lis les forums, et que je suis pas débile, je l'ai supprimé tout de suite la saloperie, mais c'est pas du tout sympa pour les nouveaux arrivés. Et puis, c'est vrai que si on achète du Apple, c'est pas pour se prendre la tête, c'est pour s'éclater, et pas passer sa vie dans le finder, les labos informatiques, le moniteur de ceci, les htttp, et jilies et les areidnf, et que sais je, tout ça pour ça...On la voit quand, sa copine, ses pot's, ses amis, m*** Bon, l'intérêt tout de même, c'est qu'il y a plus de gens sympas qui connaissent le sujet, et qui en font profiter les autres, que de gens, je dirais, méprisants Alors, voilà, la personne qui s'est faite avoir, c'est ce que vous faîtes, d'ailleurs, on l'aide et basta. Coup de gueule de novice, faut bien commencer, cordialement Fefe

Pages

CONNEXION UTILISATEUR