Flashback : 600 000 Mac infectés ?

Christophe Laporte |
Flashback est-il le premier malware à connaitre "un certain succès sur Mac" ? Alors qu'Apple a enfin bouché la faille qu'il exploitait dans Java (lire : Mise à jour Java pour OS X Lion et Snow Leopard), l'éditeur russe d'anti-virus, Doctor Web, affirme que les différentes variantes de Flashback ont infecté plus de 550 000 Macintosh. Sur Twitter, l'éditeur a dans la foulée revu ce chiffre à la hausse et parle de 600 000 Mac touchés.

Pour arriver à cette estimation, Dr. Web se base sur un identifiant unique qui est transmis par la machine infectée au serveur distant. Si l'on en croit les statistiques de l'éditeur, Flashback "cartonne" dans quatre pays. 56,6 % des machines infectées sont situées aux Etats-Unis. On trouve ensuite le Canada (19,8 %), le Royaume-Uni (12,8 %) et l'Australie (6,1 %). Dr. Web affirme avoir recensé 274 bots opérant depuis .... Cupertino.



De cette histoire, l'éditeur en veut pour preuve que le risque zéro en matière de sécurité n'existe pas sur Mac. Selon "des sources" de Dr Web, il y aurait des liens pointant vers Flashback sur plus de quatre millions de pages web.

Rappelons que ce malware, une fois en place, récupère un code depuis un serveur distant et l'injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l'utilisateur.

F-Secure propose une méthode pour éradiquer Flashback à l'aide du terminal dans le cas où votre machine aurait été infectée.

Sur le même sujet :
- Malware : Flashback évolue à nouveau
avatar OSX | 

Pour voir si on est infecté, dans le terminal, tapez:
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si la réponse est pour les 2 lignes: The domain/default pair of ..... does not exist c'est que c'est clean.

avatar titou2307 | 

@ OSX: super merci! c'est clean.
Et pour ce qui est de la mise à jour? est-ce que je peux l'installer?

avatar jaspevert | 

@OSX : Merci pour les instructions ;)

avatar OSX | 

De rien :)
C'est étrange que personne ne sorte un outil pour vérifier si y a infection et nettoyer automatiquement.
La méthode manuelle présentée par Fsecure est impraticable pour les non pro Mac.

avatar lmouillart | 

@OSX
"C'est étrange que personne ne sorte un outil pour vérifier si y a infection et nettoyer automatiquement."
Bien c'est le but des antivirus ...

Comme les gens accusent les éditeurs de ne pas proposer de méthode pour les supprimer souvent ils proposent :
Des outils spécifique et dédié uniquement à un type d'infection et gratuitement
Des procédure pour sécurisé le système
Des procédure pour supprimer les infections manuellement lorsque c'est possible

avatar spiron | 

Juste une question : Est-ce que l'infection survient seulement avec Safari ouest-ce que c'est possible d'avoir été infecté en utilisant Chrome ?

avatar OSX | 

Une nouvelle mise à jour java est arrivée!

avatar Ludavid21 | 

Aucun risque pour moi :) J'avais XCode d'installé, le virus s'auto-détruit si il trouve cette application, de même pour Skype, je ne sais pas pourquoi par contre...

avatar Philactere | 

"Rappelons que ce malware, une fois en place, récupère un code depuis un serveur distant et l'injecte dans Safari. Après cela, il peut modifier certaines pages web consultées par l'utilisateur."

Ce qui veut dire ? Qu'il serait capable de détourner les données saisies dans un champ de formulaire (typiquement identifiant / mdp) en les envoyant à un autre serveur en modifiant le code de la page web en local ?
Si c'est le cas c'est en effet très efficace et sournois, le pishing à côté fait figure d'amateurisme.

avatar titou2307 | 

Bonjour à tous,

je me permets de réitiérer ma question:

J'ai fait une recherche avec la Pomme pour trouver des mises à jour. Voilà ce que j'ai trouvé:

"Mise à jour 7 Java pour Mac OS X 10.6 apporte des améliorations de compatibilité, sécurité et fiabilité en mettant à jour Java SE 6 avec la version 1.6.0_31".

Dois-je l'installer?

Merci d'avance pour vos réponses!

:)

avatar Philactere | 

@titou2307 :

Bin par défaut une mise à jour comprenant des patch de sécurité ce n'est jamais mauvais de l'installer...à mois que tu ais un conflict connu de compatibilité entre une mise à jour et autre chose je ne vois vraiment pas pourquoi se poser la question !

Maintenant si c'est pour te protéger de ce malware que tu poses la question alors oui, installe-la puisque le malware exploite une faille Java que justement cette mise à jour comble.

J'avoue être un peu perplexe face à ta question...

avatar titou2307 | 

C'est exactement la réponse que j'attendais. Etant donné que la description de la mise à jour n'est absolument pas explicite quant au malware Flashback, je posais la question. Merci pour les précisions!

avatar titou2307 | 

Autre question:

Voilà un article que je viens de trouver:

550 000 Mac infectés par le cheval de Troie BackDoor.Flashback.

S'agit-il du même sujet ou bien est-ce un nouveau malware?
Dans ce cas, comment fait-on pour savoir si l'on est infecté?

Merci par avance amis Appléistes!

avatar marctiger | 

C'est le même, pour le reste c'est indiqué juste au dessous de ton post précédent, page 4 (entre-autres). :-)

http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

PS : quand c'est une mise à jour Système, donc par "Mise à jour de logiciels", tu installes d'office, ce sont celles d'Apple.

avatar xeonos | 

Bonjour à tous,
j'ai ça comme message :

Last login: Fri Apr 6 22:38:08 on console
iMac-de-????:~ ????$ defaults read /Applications/Safari.app/Contents/Info LSEnvironment
2012-04-07 14:31:51.287 defaults[1155:707]
The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist
iMac-de-????:~ ????$ defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

que dois je faire ??

avatar marctiger | 

Rien... tu n'as rien. :-)

Relis la page 4 par exemple c'est expliqué. Et ici aussi :

http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

avatar Drako | 

Rançon du succès grandissant du monde mac ....

avatar Lucieaus | 

Ca y est, on a enfin notre Sasser.
Ou pas.

avatar Sizo | 

Quels sont le symptômes ?

avatar madaniso | 

Oué !!! C'est parti pour les trolls !!!

Moi j'étais sur PC avant j'ai jamais eu de soucis et j'en aurai pas sur Mac non plus. Faut pas faire n'importe quoi avec sa machine c'est tout.
C'est comme pour le sexe, on laisse pas sa B... trainer n'importe où !

avatar Frodor | 

Et donc il y a des anti-virus sur le marché capable de se protéger avant que celui-ci ne soit installé ?
Une sorte d'av qui le decterait en runtime ?

De même, pour les personnes infectées, on peut voir quelque chose d'anormal dans la liste des connexions en cours par exemple ? Je ne sais pas quoi mais si le virus communique à distance avec un C&C (Comprenez Centre de Commandes), il y a moyen de blacklister l'ip du serveur communiquant.

avatar Frodor | 

@madaniso :
ici, il faut savoir qu'il s'agit d'une exploitation dans le navigateur avec une iFrame. Du coup, tu visites un site tranquillement et sans que tu ne le saches, tu es infecté.
C'est sournois. Les virus ont évolué, il ne faut plus télécharger un fichier pour être systématiquement infecté ...

avatar laurent_iMac | 

Saint Jobs ... priez pour nous, pauvres pécheurs.
Montre-nous la voie qui nous protégera de ces malfaisants.
Bon ... comme les prières ne marchent pas ... AU SECOURS ... nous sommes un peu dans la M....

avatar BS0D | 

+1 pour drako.

avatar USB09 | 

Surf plus sur mon Mac. C'est grave docteur ?

avatar Mitchells | 

Est-ce que Virus Barrier Plus reconnait les macs infestés et les soigne ?

avatar Ielvin | 

Je vous dit avast :)

avatar expertpack | 

Mort de rire !
Quand je pense que les fanboys hurlaient que le mac n'avait pas besoin des programmes PC pour se proteger. Les antivirus, ccleaner et autres outils pulules pour la pomme aujourd'hui.
A quand l'ipad ?
Plus serieusement, surfer couvert et nettoyer vos machines .
Personne n'est a l'abri

avatar Nesus | 

C'est bien mignon, mais moi aussi je peux déclarer que 8 milliard de Mac ont été infectés. Il faudrait des preuves...

avatar Kurby'S | 

Moi jamais eu cette mise à jour sur mes 2 Mac (MBA et Mac mini)

avatar Funigtor | 

Attendez un peu une MaJ de XProtect... :P

avatar AzKaR | 

@Frodor

Je "pense" quil faut quand même trainer sur des sites moins sécurisés ou moins populaire. Ca ne sera pas en traînant sur fb, un site d'infos ou macgé qu'on va choper cela.

avatar Mabeille | 

600 000? ce ne sont que des cas isolés ont ne peut pas généralisé.
une fois dit ça l'honneur est sauf, nous pouvons continuer notre prosélytisme.

avatar legascon | 

Ce que je trouve étonnant en lisant la note de FSecure, c'est que si ce malade détecte la présence de little snitch ou de clamxav, il s'auto-efface ?

J'ai bien compris !? Si c'est le cas, ça veut dire que la simple présence de ces programmes suffit à s'en protéger. Ce qui est assez rassurant.

avatar subsole | 

@Funigtor
1 - XProtect a été MàJ le 02/04/2012. ^^
Pour les autres hurleurs. :)
2 - C'est une faille Java, pas Apple.
3 - D'autre part, pour la France, il faut vraiment être débile pour ce faire "avoir", la fenêtre de demande de MDP est en anglais.
Pour information :
4 - [i]"550 000 machines font partie d'un botnet ce qui a permis de sortir ces chiffres précis."[/i]

avatar legascon | 

Malware pas "malade". Désolé...

avatar john_steed | 

heu...
On execution, the malware checks if the following path exists in the system:

/Library/Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/Applications/VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/Applications/Packet Peeper.app

If any of these are found, the malware will skip the rest of its routine and proceed to delete itself.

ça laisse pas mal de monde hors de portée ! Si le simple fait d’avoir installé un seul de ces logiciels suffit à ce que le malware s’auto-efface c’est qu’il n’est pas bien méchant ou intrusif...

avatar Jelliol | 

Un peu de retenue par le passé et moins de fanboyisme de certains crétins nous éviteraient de passer pour des cons aujourd'hui...

Evidemment qu'il faut se proteger et Apple nous DOIT une réponse.

On met un AV ? Ils verrouillent tout ? Quelle solution vont t'ils proposer ?

avatar youpla77 | 

@Jelliol :
tout passera par l'appstore... Mais c'est pour ton bien ;)

avatar Mac Mac | 

Qu'ils ferment seulement leur système. Ils verront comme les gens vont aimer ça.

avatar Marc-Alouettes | 

@expertpack: "Quand je pense que les fanboys hurlaient que le mac n'avait pas besoin des programmes PC pour se protéger."
Je vois qu'il t'a échappé que ce n'est jamais avec un programme PC que l'on se protège sérieusement sur Mac !
_____________________________________________________________________________________________________________

@Jelliol: "Evidemment qu'il faut se proteger et Apple nous DOIT une réponse."
La faille Java a été préventivement comblée par Apple par une MAJ Safari et Java et je te conseille d'écouter cette réponse que tu n'as, semble-t'il, pas entendu.

avatar Goliath | 

@Jelliol

"Un peu de retenue par le passé et moins de fanboyisme de certains crétins nous éviteraient de passer pour des cons aujourd'hui..."

...tu m'as enlevé les mots de la bouche! C'est bien dit et c'est exactement ça...

avatar ErGo_404 | 

[quote]expertpack [05/04/2012 06:45] via MacG Mobile

Mort de rire !
Quand je pense que les fanboys hurlaient que le mac n'avait pas besoin des programmes PC pour se proteger. Les antivirus, ccleaner et autres outils pulules pour la pomme aujourd'hui.
A quand l'ipad ?
Plus serieusement, surfer couvert et nettoyer vos machines .
Personne n'est a l'abri [/quote]
Le problème d'un système aussi fermé que l'iPad, c'est que quand une faille est découverte et permet à un logiciel de prendre le contrôle de la machine (grosso modo ce qui s'est passé pour le jailbreak iOS pendant un moment), aucun logiciel n'a la possibilité de t'en protéger puisque les applications sont si bien séparées les unes des autres. Il faut donc s'en remettre au bon vouloir d'Apple pour corriger une faille de sécurité. Et quand on voit leur réactivité sur certaines de ces failles ...

avatar lmouillart | 

@Jelliol les seules solution viables c'est d'avoir des antivirus qui détectent les comportements suspects soit Apple le fait soit les éditeurs tiers.

Sur Microsoft Windows une bonne partie des malwares sont injectés via les logiciels tiers.

Ce n'était pas honteux d'abandonner MacOS, ce n'était pas honteux de passer aux CPU du grand méchant IBM, ce n'était pas honteux de passer aux CPU Intel, ce n'était pas honteux de passer des accords croisés avec Microsoft pour avoir accès à leurs brevets, ça ne sera pas honteux d'avoir des Antivirus utilisés en masse sous OS X.

avatar Jelliol | 

@lmouillart : A bah clairement de ton avis, certaines sociétés ont acquis un savoir faire indéniable qu'il serait temps de reconnaitre quand même. Mon neveu sur son PC Portable Windows 7 télécharge tout et n'importe quoi !! (@Adoinside) Il a un AV Kaspersky Internet (Je sais plus quoi) il a JAMAIS eu une merde. Tous mes messages de prévention tombent un peu à plat quand je lui dis de faire gaffe, mais au final son truc marche.

Apple aura t'il l'humilité de le reconnaitre ou nous forcera t'il encore à verrouiller et fermer tout à double tour en nous prenant pour des incapables ?

avatar Francis Kuntz | 

"Dr. Web affirme avoir recensé 274 bots opérant depuis .... Cupertino."
ahaha, ça apprendra à Apple à ne pas être assez réactif sur la sécurité ...

J'espère qu'ils vont se faire voler des trucs. De mon coté ça fait bien longtemps que le Java est désactivé dans Safari et pas plus installé depuis que c'est plus obligatoire.

avatar Pascal 77 | 

Ben je vois que le sens de la mesure n'a pas cours dans les commentaires de certains.

Ils rigolent parce qu'il y aurait [b][u]un[/u][/b] malware sur Mac, ce qui le ramènerait au même plan que Windows … :siffle:

Moi, je compte plutôt les points, nous disons donc : Mac OS 1 point, si j'en crois le fichier de définition de virus de mon anti-virus, Windows a déjà largement dépassé les 100 000 points … Choisis ton camp, camarade ! :D

avatar melaure | 

@expertboy, ca me fait rire de voir des tocards du monce PC débarquer avec leur critique à 3 cents. Mac OS X a tenu 12 ans sans emmerde sérieuse quand chaque version de Windows a déjà des centaines de virus avant même sa commercialisation ...

Ensuite Java n'est PAS développé par Apple !

avatar lmouillart | 

@Pascal 77 c'est plus un souçis de méthodologie que de nombre. Typiquement chez nous (plus de 500 000 machines serveurs Windows/Linux/AIX, Mac, Linux,Windows XP et 7), il y a des antivirus sur toutes les machines de la société ou des salariés (si ils se connectent au VPN), où sur les machines servant d'entrée sortie.

L'impacte des antivirus pour une utilisation bureautique, lorsque ils sont bien réglé est négligeable 1-2%.

avatar Jelliol | 

@melaure : Passer ces 12 années à 1% de part de marché nous a bien aidé...

Pages

CONNEXION UTILISATEUR