Malware : Flashback s'attaque à l'XProtect d'OS X

nayals [19/10/2011 18:05] (effacer) (editer) via MacG Mobile

Flashback est-il référencé dans XProtect ?

ielvin [19/10/2011 18:32] (effacer) (editer) via MacG Mobile

Il l'est mais la nouvelle version vise à désactiver l'action de X protect

mirando [19/10/2011 18:55] (effacer) (editer) via MacG Mobile

Ben Flash est comme un virus :-) l'utilisateur devrait se méfier.

pierrebondurant [19/10/2011 18:58] (effacer) (editer) via MacG Mobile

Ca devient un peu plus technique les malwares sur OS X...
Reste a voir la réponse d'apple

showmehowtolive [19/10/2011 19:02] (effacer) (editer) via iGeneration pour iPad


Comment trouve t-il les droits pour le faire ?

hadrien01 [19/10/2011 19:08] (effacer) (editer) via MacG Mobile

@showmehowtolive :
Lors de l'installation, il demande un accès sudo (super admin) à l'utilisateur.

zazeur [19/10/2011 19:41] (effacer) (editer)

Hum j'ai eu un "installateur Flash" il y a 1-3 jours.
Comment savoir si c'était Flashback ou pas ?

Edit :
Apparemment il s'agit d'un installateur de type classique : http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_c.shtml
Or j'avais bien eu l'installateur Flash "petit".

Edit 2 :
Cela dit, comment être sur ?
Je ne vois pas xprotect.

Lucieaus [19/10/2011 19:48] (effacer) (editer)

Oula, mais c'est qu'elles deviennent de plus en plus agressives les saloperies qui débarquent sur Mac. (je parle des virus et autres, bien entendu, pas des switcheurs, vous l’aurez compris)

toco [19/10/2011 20:17] (effacer) (editer) via MacG Mobile

@Lucieaus :
LOL

Switcher [19/10/2011 20:27] (effacer) (editer)

La règle, c'est : toujours passer par le site d'Adobe ou ses partenaires (sites sûrs, MacUpdate, MacGé, etc.).

Toujours envoyer à la poubelle les "téléchargements forcés". Tou-jours.

Eblis [19/10/2011 20:48] (effacer) (editer) via iGeneration pour iPad

Moi je vous conseille d'installer Microsoft Security Essentials...

Pour faire croire à flashback qu'il s'est trompé de cible et qu'il est sur windows... D coup...demi tour...

Faabb [19/10/2011 22:31] (effacer) (editer)

Zazeur,
il me semble que dans les premieres versions de Flasback (source integp), l'installateur ne se lance que chez les personnes qui n'ont pas installé flash. Est-ce toujours le cas?

zazeur [19/10/2011 23:57] (effacer) (editer)

@Faabb,
pas bien compris. J'avais déjà Flash avant, mais j'ai du "mettre a jour" il y a moins d'une semaine.
Or je ne sais pas s'il s'agit bien d'une maj ou de 'flashback' :/

XiliX [20/10/2011 00:18] (effacer) (editer)

Aaahhh FlashBack sur mon Amiga A1200....

misc [20/10/2011 02:51] (effacer) (editer) via MacG Mobile

@faab
Je pense que ce "troyan" s'en contre fiche que t'ai flash d'installé..

subsole [20/10/2011 08:59] (effacer) (editer)

Bonjour,
Flashback n'est pas un virus ( Un virus s'installe seul, se reproduit seul, le tout à l'insu de l'utilisateur).
Là, clairement c'est un bug de l'utilisateur, qui pense que le net est le pays des Bisounours et donne son MDP administrateur à n'importe qui. Feriez -vous la même chose avec votre CB ?
Que ceux qui ont dit oui m'envoient leurs N°de cartes et code, merci. ^^
Plus sérieusement, quelques basiques:
Il faut impérativement télécharger le Plug Falsh depuis le site officiel c. à d. chez Adobe, chose évidente qui ne semble pas l'être pour tous.
Lorsque vous êtes sur la toile, si un quelconque site vous réclame une MàJ du Plug ou un quelconque téléchargement de Plug, ne le téléchargez pas depuis ledit site, mais passez par le site officiel Adobe.
Ceci est d'ailleurs valable pour toutes installations de Plugs ou d'applications.
Ne téléchargez aucun antivirus depuis un site qui prétend avoir détecté un virus sur votre Mac.
La protection idéale existe, c'est JeRéfléchi 1.0 :p

Charger_RT [20/10/2011 09:53] (effacer) (editer) via MacG Mobile

@subsole :
+ 10

Si les utilisateurs étaient plus méfiants, il y aurait moins de soucis !

apenspel [20/10/2011 11:02] (effacer) (editer)

Ouais mais si on était plus paranos, on aurait beaucoup plus de soucis.
Le juste mot, c'est " attentif ". ;)

rlp2 [20/10/2011 11:16] (effacer) (editer) via MacG Mobile

Je viens d'installer une mise à jour Flash conseillée spontanément lors de la navigation sur Safari. Espérons qu'elle venait bien d'adobe...

Le principe ignoto [20/10/2011 11:52] (effacer) (editer)

Pour vérifier si vous avez été infecté par Flashback.C (qui s'installe dans Safari et/ou dans Firefox), il faut lancer le Terminal et taper les commandes suivantes :
defaults read /Applications/Safari.app/Contents/Info.plist LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info.plist LSEnvironment
Si vous voyez la chaîne de caractères "DYLD_INSERT_LIBRARIES" suivie d'un chemin, vous avez été infecté : mettez Safari et/ou Firefox à la poubelle et réinstallez-les par une version propre récupérée chez Apple ou Mozilla.
Si vous voyez un message "The domain/default pair of (Applications/Safari.app/Contents/Info.plist, LSEnvironment) does not exist" ou "The domain/default pair of (Applications/Firefox.app/Contents/Info.plist, LSEnvironment) does not exist", vous êtes tranquille...

Le principe ignoto [20/10/2011 11:55] (effacer) (editer)

Remplacez-les, pas réinstallez-les par une version propre ! Ou plutôt "remplacez-les en réinstallant etc."...

zazeur [20/10/2011 19:39] (effacer) (editer)

Ok j'avais bien cherché "LSEnvironment ..." et je n'avais rien vu.
Donc c'est bon ;)

pierrot99 [21/10/2011 11:24] (effacer) (editer)

Et dans le genre "je réfléchis": est-il sage de taper dans son terminal des commandes (absconses pour le commun des mortels) proposées par un inconnu dans un forum … qui me dit que "Le principe ignoto" n'est pas l'auteur de FlashBack ?

T Ki [23/10/2011 16:01] (effacer) (editer)

@pierrot99

C'est clair tu ne devrais jamais taper de ligne de commande que tu ne comprends pas.
Mais bon, là les commandes de principe ignoto sont sans aucun danger ça demande simplement de lire dans les Info.plist de Safari et Firefox si ça trouve "LSEnvironment" qui est une partie du code qu'ajoute Flashback.