Combien d'heures avant l'apparition de Mac defender D ? Les paris sont lancés.

La base virale de votre antivirus a été mis à jour :)

"mais leur marge de manœuvre semble d'un coup bien réduite" ? Qu'est ce qui les empêche de faire une nouvelle variante toute les 1h voir toutes les 30min ?

@Nicolasf Certes, mais avec un véritable antivirus possédant une détection heuristique voire même simplement générique, ça éviterait ce jeu perpétuel du chat et et de la souris.

Surtout qu'il s'agit d'une Maj toute les 24h et non pas toute les 24h d'utilisation.

@macmmouth Mais une détection heuristique dans ce casprécis, risque de bloquer TOUTES les applications téléchargées depuis internet, vu que ce MacDefender n'est rien d'autre qu'une simple application

@r e m y Un antivirus moderne est une combinaison des trois (détection par signature, générique et heuristique). La détection heuristique ne fait que détecter un suspect potentiel confirmé ou non par les autres méthodes et les analyses humaines. Les faux positifs n'existent quasiment plus de nos jours. Et puis une application qui demande un numero de CB, je n'appelle pas ça une simple application.

@Nicolasf Donc en gros ce que fait apple ne sert à rien sous Windows, pour je ne sais plus qu'elle malware c'était un nouvelle variante détecter (par Kaspersky de mémoire) toutes les 10 à 15mins. Ca ne les empechait pas de toucher du monde. :)

Cette maj ne s'applique pas 10.5 ? Quelqu'un pourrait confirmé ?

Mouais, enfin Maj ou pas, il suffit de ne pas installer n'importe quoi, et de ne pas donner son numéro de CB à n'importe qui pour éviter tout souci. C'est pas très compliqué d'éviter ce genre de malware! Et voilà qui me fait dire que le MAS a de beaux jours devant lui!

Ouep, une simple mise a jour du module cérébral de l'utilisateur et il n'y a aucune souci.

Cool. Et bien évidemment, aucune explication d'Apple sur comment cette merde pouvait s’exécuter sans les droits d'admin. Mais aucune inquiétude à avoir, puisque le problème est "[i]corrigé[/i]" (sic).

joneskind t'évites comment un clickjacking ?

Cette application peut s'installer sans demander le mot de passe car ce n'est qu'une simple application standard, dont la seule caractéristique est de tromper l'utilisateur sur son but et d'essayer de lui piquer son pognon. Elle ne modifie pas le système, ne cherche pas à se multiplier, etc. Quant à l'inutilité des anti virus sur Mac, avec cette MAJ de sécurité, elle est plus que jamais confirmée. D'une certaine façon, la réflexion désabusée d'Intego le démontre...

[quote]Les faux positifs n'existent quasiment plus de nos jours.[/quote] Alors là je dis FAUX FAUX FAUX ET ARCHI-FAUX. Je suis moi-même développeur d'une application sous Windows et j'ai eu l'immeeeeeense joie de voir mon appli détectée comme un virus (alors qu'il n'en est rien) par deux antivirus très populaires, l'un payant, l'autre gratuit (non, pas Avast, l'autre). Je t'assure que c'est HYPER emmerdant surtout quand l'un des deux éditeurs ne fait pas correctement son travail. L'éditeur de l'antivirus payant, Kaspersky pour ne pas le citer, a corrigé son erreur dans la demi-journée après que je lui ai soumis l'échantillon pour analyse de faux-positif. La mise à jour a été faite dans la foulée, jamais ré-entendu parler d'un problème. Par contre, l'éditeur de la solution gratuite (Avira pour ne pas le citer non-plus) qui avait visiblement éhontément pompé sur Kaspersky, lui, non-seulement a mis plusieurs jours à réagir, mais en plus pour je ne sais quelle raison, son antivirus continue à repérer mon logiciel comme un virus, même après mise à jour de la base de signature, et même une fois l'analyse heuristique désactivée. Quand on y est confronté, c'est HYPER relou. Et si moi modeste développeur d'UN soft au contenu pourtant pas spécialement limite (un player shoutcast avec quelques fonctionnalités avancées), j'ai pu y être confronté, c'est que le phénomène ne doit pas être si rare.

Il me semble que l'installation "automatique" de ce malware ne se fait que si on a conservé le réglage par défaut de Safari pour l'ouverture des "fichiers fiables". En décochant la case et en utilisant une session utilisateur sans droits d'administration, on devrait déjà un peu se protéger de MacDefender et ses dérivés.

Qu'est ce que ça change d'être en session "non admin"?? Ça limite les problèmes ?

Quand l'utilisateur est « autorisé à administrer l'ordinateur », il a les droits en écriture dans /Library (Bibliothèque). Dans /Library il y a StartupItems qui contient des démons tierce partie à lancer au boot. Il ne faut pas travailler avec un compte admin

@ Zed-K : « Et bien évidemment, aucune explication d'Apple sur comment cette merde pouvait s’exécuter sans les droits d’admin. » Sans doute parce qu’il n’y a aucune explication spéciale à donner au fait qu’un utilisateur ait le droit d’installer, puis d’exécuter, une application qu’il a téléchargée, le tout sans qu’on lui demande son mot de passe. Un usage normal d’un ordinateur, quoi.

En lisant l'info d'Intego, je suis allé vérifier si la base xprotect.plist etait bien mise à jour sur mon Mac. Or elle était toujours à la version du 31 mai, installée par la mise à jour de sécurité. Pourtant la case "mettre à jour automatiquement" était bien cochée dans les pref système/securité. J'ai debloqué le cadenas, décoché puis recoché cette case et Xprotect.plist a été mise à jour instantanément (avec la variante B de MacDefender) Je me demande si cette mise à jour automatique va se faire régulièrement maintenant ou si il va falloir que je retourne forcer sa mise à jour moi-même (mais peut-être le fait de décocher/cocher a-t-il suffit a réellement activer l'automatisation) Je vous suggère de jeter un oeil à la date de votre fichier xprotect.plist dans /system/library/coreservices/coreTypes.bundles/Contents/resources

@r e m y Il y a au même endroit un fichier (XProtect.meta.plist) qui contient explicitement la date de la dernière MàJ. Pour forcer une mise à jour il suffit de désactiver/réactiver la chose.

Je suis allé voir : ma base xprotect ne répertoriait que les variantes A et B. J'ai donc fait comme r e m y, j'ai coché pui décoché la case et les variantes C et D sont maintenant répertoriées ! (Ce qui répond à la question de Macmmouth : c'est fait, la version D est apparue, et Apple a déjà mis à jour la liste xprotect... les paris peuvent maintenant porter sur la version E ;-)

Quelques précision sur ce qui a été écrit ici hier : @ legascon : « Il me semble que l'installation "automatique" de ce malware ne se fait que si on a conservé le réglage par défaut de Safari pour l'ouverture des "fichiers fiables". En décochant la case et en utilisant une session utilisateur sans droits d'administration, on devrait déjà un peu se protéger de MacDefender et ses dérivés. » Non. Il n’y a pas d’installation automatique de ce machin. Laisser cochée cette case permet juste au programme d’installation de se lancer automatiquement après le téléchargement, mais ça ne lance pas pour autant l’installation, qui doit toujours être validée par l’utilisateur. Et rappelons que même si cette installation est réalisée, ce n’est pas elle qui représente le vrai problème : le problème de sécurité, avec ce malware, ne se pose que quand l’utilisateur accepte de donner ses informations de paiement. Absolument rien d’automatique dans tout ça. Bref, pour une attaque qui repose intégralement sur le principe classique de l’arnaque, consistant à convaincre qu’il doit donner certaines de ses informations personnelles, aucune case à cocher ou aucune autre mesure technique ne renforcera la protection. À part bien sûr si on va jusqu’à s’interdire de télécharger quoi que ce soit depuis internet. Mais c’est un poil extrême.

@ thierry37  : « Qu'est ce que ça change d'être en session "non admin"?? Ça limite les problèmes ? » Non. C’est une vieille légende qui court, mais au moins dans ce cas précis, ça ne change rien. D’une part, parce que ce type de malware n’a en rien besoin de droits d’administration pour être nocif, vu son type de fonctionnement — ça s’est d’ailleurs vu avec les variantes fonctionnant parfaitement en mode utilisateur standard. D’autre part, parce que même en tant qu’admin, on n’a pas le droit d’écrire dans certains dossiers sensibles sans saisir son mot de passe. Et enfin, on peut très bien aller écrire dans ces même dossiers depuis un compte non-admin si on connaît le nom et le mot de passe d’un compte admin et qu’on se laisse convaincre par le malware qu’il faut absolument l’installer. Du coup, la vraie protection n’est pas de travailler avec un compte non-admin, mais de faire ça en n’ayant absolument pas connaissance du mot de passe du compte administrateur — ce n’est évidemment pas faisable pour l’utilisateur principal d’une machine. En revanche, c’est bien sûr recommandé pour certains utilisateurs secondaires comme les enfants. @ jlb_ : « Quand l'utilisateur est « autorisé à administrer l'ordinateur », il a les droits en écriture dans /Library (Bibliothèque). Dans /Library il y a StartupItems qui contient des démons tierce partie à lancer au boot. Il ne faut pas travailler avec un compte admin » Rappelons qu’un compte administrateur dans Mac OS X n’est pas la même chose que le compte root. Un administrateur, dans une installation standard de Mac OS X, a effectivement le droit d’écriture dans /Library, mais [b]pas[/b] dans les sous-dossiers comme StartupItems, LaunchDaemons et LaunchAgents. Pour écrire à ces emplacements, il faut donner son mot de passe afin d’obtenir des droits supérieurs. Il n’y a donc pas là de différence avec un compte standard dont l’utilisateur connaîtrait un mot de passe admin. On peut très bien travailler avec un compte admin.

ce malware n'existe pas la sécurité de Mac Os X est inviolable cette mise à jour est bidon c'est juste pour rassurer les neuneux

Alors, te sens-tu rassuré mon petit Mabeille ? :-P

Bonjour à tous J'ai little snitch activé, et xprotect.plist ne se met pas à jour. Le problème est que je n'arrive pas à isoler le daemon pour pouvoir autoriser son accès au net. L'erreur dans la console est : " Jun 3 16:22:50 xxxxxxx XProtectUpdater[19]: NSURLConnection error: Error Domain=NSURLErrorDomain Code=-1009 UserInfo=0x100103060 "This computer’s Internet connection appears to be offline." Underlying Error=(Error Domain=kCFErrorDomainCFNetwork Code=-1009 UserInfo=0x100152c70 "This computer’s Internet connection appears to be offline.") Jun 3 16:22:50 xxx com.apple.launchd[1] (com.apple.xprotectupdater[19]): Exited with exit code: 255" Dès que je désactive Little Snitch tout rentre dans l'ordre et le fichier xprotect.plist est bien mis à jour. Il y a d'ailleurs 4 variantes de MacDefender... merci à vous