Virus Flashback

[Cedric-Fox]

" Plus de 600.000 Mac auraient été infectés dans le monde par le cheval de Troie Flashback. La plupart des ordinateurs ont été touchés aux États-Unis (56,6%). Ce programme malveillant se répand depuis 2011 et a évolué à plusieurs reprises.

Il s'est d'abord fait passer pour une application permettant d'installer le lecteur Flash d'Adobe. Les versions suivantes, plus sournoises, ont profité d'une vulnérabilité d'un composant Java inclus dans le système Mac OS X pour déclencher le téléchargement du cheval de Troie dans le navigateur Safari et infecter cette fois les Mac sans aucune intervention humaine.
En revanche, Flashback ne se reproduit pas entre machines infectées.

Toutes ces versions de Flashback sont parvenues à contourner les protections antivirus du système d'exploitation d'Apple et à duper les antivirus éventuellement installés sur les Mac. Ses développeurs ont profité de l'attentisme d'Apple, qui n'a proposé à ses utilisateurs qu'en début de semaine la version de Java capable de bloquer l'installation du virus. Oracle, développeur de Java, avait comblé cette faille le 14 février pour les systèmes Windows, Linux et Unix.

Lorsqu'il est installé sur un Mac, Flashback ouvre une communication avec un serveur distant afin d'être contrôlé par ses créateurs. Le programme malveillant peut notamment modifier des pages Internet afin de récupérer des informations d'utilisateurs. L'éditeur F-Secure propose sur son site Internet un manuel pour désinstaller le programme malveillant, sans avoir besoin d'acheter un antivirus. "
(extrait du Figaro du 6 avril 2012)

Au passage, Avast a sortit une version mac gratuite.

[krr]

oui, apple a, depuis plus d'un mois, sorti une mise à jour directement disponible dans le logiciel interne, qui nettoie la machine éventuellement infectée.

d'autre part, les IP vers lesquelles le zombie se connecte sont connues depuis longtemps, ce qui le rends évidemment inopérants, puisqu'un vilain pirate officiant depuis ces IP serait immédiatement repéré.

Ca reste le premier malware de type reproductif... encore faut il avoir installé une machine Java sur son ordi (ce n'est plus automatique depuis Snow Leopard), l'avoir activée, etc...

Enfin, Oracle s'occupe dorénavant des MàJ Java y compris sur mac...


Ceci dit, cela démontre que l'orientation des créateurs de virus va vers les technologies qui sont indépendantes de la plateforme... c'est évidemment plus efficace car on peut infecter mac, windows, linux, unix et probablement iOs, Android et autre à terme. Nous avons vécu, sous mac, une période "safe" de quasiment 14 ans sans virus.. ca ne pouvait pas durer éternellement.

[mius]

Et ça : http://www.liberation.fr/ecrans/2012/04 ... let_813909
vous en avez entendu parler, c'est peut-être en rapport avec l'infection par FB.

[krr]

Et ça : http://www.liberation.fr/ecrans/2012/04 ... let_813909
vous en avez entendu parler, c'est peut-être en rapport avec l'infection par FB.

pas vraiment.

FB ouvre une liaison permettant le controle à distance. Il s'agit d'utiliser la machine pour des attaques vers des serveurs, essentiellement.

le DNS Changer permet lui de renvoyer vers d'autres sites afin de récupérer des données (bancaires le plus souvent), de renvoyer vers des sites commerciaux ou des sites remplis de spam...

sauf que pour se faire avoir par le DNS Changer, encore faut il etre un total noob qui n'a jamais réglé un truc dans ses réseaux ! puisqu'il suffit de vérifier que les DNS soient correctement rentrés dans la config réseau...

[2at8]

Vu sur un site, une procédure pour savoir si un "Cheval de Troie" est présent sur sa machine
Sous Lion, tableau de bord "mise à jour", règle le problème
Sous OS antérieur, 2 solutions :

- désactiver Java
- sous Terminal, taper :
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

Si le message est "does not exist", pani problèmes, pas de souchi

[mius]

Dac, merci.
Un lien en français :
http://pro.01net.com/editorial/563160/u ... -de-troie/

[mius]

Pour info, il y a peu de temps, j'ai trouvé mon 1er virus Mac à :
Macintosh HD/ usr/ share/ java/ Tools/ Jar Bundler
rectifié avec Virus Barrier X6

[2at8]

Bonjour Mius
Quid de cet outil Jar ? Faut-il le supprimer ? Ou bien l'un des jar faits avec ?
Pour info voir là, c'est bien un outil de développement Apple sur Java : http://en.wikipedia.org/wiki/Apple_Developer_Tools
@+

[mius]

Bonjour 2at8,
Oui c'est un outil Java pour faire des icônes, j'en sais pas plus !
Puis, j'ai désactivé Java dans les navigateurs;

[krr]

Pour info, il y a peu de temps, j'ai trouvé mon 1er virus Mac à :
Macintosh HD/ usr/ share/ java/ Tools/ Jar Bundler
rectifié avec Virus Barrier X6

ouais, euh.. sauf que c'est pas un virus... mais un outil nécessaire au développement d'appli java...

donc bon, le virer ne te gênera pas des masses, je pense...

mais si c vu comme un virus, ca n'augure rien de bon concernant la fiabilité de virus barrier O___O