Apple met à jour Xprotect contre le malware iWorm
Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X. Le fichier qui contient la liste des définitions de ces parasites contient une référence à iWorm, le nom du dernier malware en date, détecté au début du mois par Dr.Web (lire Un malware affecterait 17 000 Mac).
Xprotect est logé dans le dossier système, on peut en consulter le contenu avec la commande de Terminal suivante :
more /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.plist
Si cette référence n'y figure pas encore, il faudra attendre que Xprotect soit mis à jour par le système. La procédure est automatique, sans intervention de l'utilisateur.
Source
Pour voir aussi les Malwares sous OS X, il y a l'indispensable Onyx :
Dans "Informations" → "Protections" : Dans la colonne de gauche "Malwares"
Est-ce que Xprotect fait le ménage ?
Ou seulement empêche l'installation du malware ?
D'ailleurs les Malwares se multiplient, ils ont trouvé la porte d'entrée, la naïveté (normale d'un utilisateur classique, ce n'est pas une critique...). Des sites qui demandent de mettre à jour Java, et hop un malware. Et on se retrouve avec des fenêtres de pub' dans tous les sens. Cette semaine j'ai trouvé les malwares : Genio, Gophot, MacKeeper et PalMall dans plusieurs machines.
Ils se retrouvent en tant qu'installeurs dans le dossier Applications (MacKeeper et Palmall), s'installent dans les extensions des navigateurs (Safari, Firefox, Chrome) et finissent par mettre "à genoux" le Mac qui n'avance plus.
Le rythme des parutions s'accélèrent, même Intego a du mal à suivre, PalMall n'était pas détecté hier...
@petergab :
Exact ! J'ai trouvé MacKeeper sur un mac
Mais nan, puisqu'on vous dis que le magnifique mac est à l'abri de tout les soucis et que seul les pcs sous windaube sont sensible à ça. Que ce n'est jamais de la faute de l'utilisateur volontairement ignorant, blablabla.
Un bon retour de baton qui va grandir avec la pdm. Surtout sur un os avec un système de "protection" aussi ridicule. :)
AdwareMedic fait bien le ménage
Dire que mackeeper est un malware est quand même légèrement abusif.
"Dire que mackeeper est un malware est quand même légèrement abusif."
Toujours est-il que c'est une belle arnaque.
http://www.securitemac.com/mackeeper.html
merci de le rappeler.
je précise que je ne parle pas du logiciel MacKeeper
il n'est pas impossible que le malware s'appelle Makeeper sans le "c"
pas d'amalgame entre les deux...
Avec Onyx, je vois dans la liste Malwares la reconnaissance non pas de un mais de trois Malwares OSX.iWorm, soit :
OSX.iWorm.A
OSX.iWorm.B
OSX.iWorm.C
Il y a donc 3 variantes.
Hyper inquiet Onyx me dit que la dernière mise à jour date de mai 2014 !
Il me semblait avoir lu ici une commande pour forcer la mise à jour xprotect, non?
Excellente idée, pour ma part, je n'ai rien trouvé sur la toile... ou alors, cela m'apparaît être très obscure !...
Mon fichier de description date du 6 juin 2014 : n'y aurait-il pas eu d'autres mises à jour dans l'intervale ? Ai-je bloqué des droits d'accès (Little Snitch) ?
"une commande pour forcer la mise à jour xprotect"
En effet, il suffit d'appuyer simultanément sur Control, Alt, Command + Eject.
Merci Patrick86 pour cette info !
C'est une magnifique arnaque en effet ! Déjà que sans être installé il pourrit déjà les sites web...
Pour "Genio", je rappel que MacG à servit de vecteur en publiant cet article flatteur :
https://www.macg.co/2011/02/genieo%C2%A0-page-daccueil-personnalis%C3%A9e-et-automatique-43779
C'est vraiment le comble.
@Orus :
Ptdrrrrr c'est clair !
@Orus
Heureusement que t'es là pour rappeler que MacGé a fait une erreur il y a 3 ans et demi...
T'es pathétique.
LE TITRE DE LA NEWS : “Apple met à jour Xprotect contre le malware iWorm”.
Ah, tu te dis : “En voilà une nouvelle qu'elle est bonne... comme nouvelle !...
Alors, tu cliques sur le lien afin de consulter le précieux article.
Et là, tu lis la première phrase (de l'article) : “Apple est en train de mettre à jour Xprotect, l'anti-malware intégré à OS X”.
Ah tiens, mais alors on m'aurait menti à l'insu de mon plein gré !...
Oops, ça me rappelle les unes aguichantes d'un magazine Mac (encore vivant) qui donne en contenu une pauvre demi-page avec des informations parcellaires et recuites.
Bon, tu te dis, je vais lire tous les posts (y-a toujours quelque chose à retenir des intervenants) pour avoir l'information tant attendue... mais non, rien, que'chip, nada, peaudeballe, zéro, potd'zob !...
Heureusement que nous sommes le jour du Seigneur et que, Tolérance, Oh, nous te devons, Grand MacGe.
Paix et alacrité !... en attendant votre prochaine alerte sur l'effective mise à jour du bouzin.
Bon dimanche à toutes et à tous... ;-)
@Caissonbulle
Ne le prends pas mal, c'est vraiment pas du tout l'objet de ma réponse à ton commentaire mais c'est juste que tu emploies des expressions imagées que j'aime bien mais comme tu les écris mal on comprend plus ce qu'elles veulent dire. Et du coup c'est dommage !
Alors corrige moi si je me trompe mais
Que'chip : tu voulais dire Queue de chie non ?
Potd'zob: tu voulais certainement dire Peau de zob ?
Encore une fois c'est pas du tout pour faire mon maître Capello du dimanche, mais juste à des fins disons de culture générale quoi !
Oh Désolé joneskind de t'avoir fait perdre ton temps : l'essentiel de ce que j'ai écrit n'a que très peu d'importance et ne demande aucune analyse particulière. C'est juste une formulation pour enrober le tout... et masquer un peu un léger et petit agacement. Aucune exégèse à consacrer ici...
Non mais bon, la bonne nouvelle c'est qu'une solution est en route et que le problème sera réglé incessamment sous peu.
Ça vous empêchera de l’installer dans un moment d’égarement mais ça ne vous en débarrassera pas si vous avez déjà fauté.
Bonjour,
Je n'étais jamais allé voir les mises à jour de XProtect mais en checkant XProtect.meta.plist et XProtect.plist je me rend compte qu'ils n'ont jamais été mis à jour. Je ne comprends pas pourquoi. Et surtout j'aimerais bien forcer la mise à jour. Si je compare à la version du site apple c'est flagrant, la mienne est quasiment vide. Y a-t-il un moyen de mettre à jour ? Quelq'un a-t-il une explication ?
C'est d'autant plus bizarre que je ne suis pas un power user et que mon MacBook Air sous maverick n'a subit aucune bidouille de ma part.
---
Edit : Dernière date de motif des deux fichiers en question : 16 mai 2014
@Barnadebe :
Idem pour moi. Sous Mavericks impossible de forcer la mise à jour comme sous les autres.
Peut-être en essayant de décocher puis cocher les cases dans préférences système puis AppStore.
J'essaye ça ce soir
J'me sens moins seul, nous sommes au moins deux...
Dois-je soupçonner que Little Snitch a été mal configuré par mes soins sur ma machine et que j'ai bloqué des mises à jours : JE N'EN AI AUCUNE IDÉE !
@caissonbulle :
Je n'ai pas Little Snitch.
Dernière mise à jour en mai 2014
Pas little snitch non plus et j'ai un peu décoché puis recoché les items dans PréférenceSystème / Appstore, on verra bien, je ne sais pas s'il y a un temps de propagation avant que ces motifs soient prises en compte.
J'ai tenté aussi d'appeler un conseiller applecare soyons fou mais ça a raccroché au bout de 17 minutes sans même qu'il ait compris mon problème ("Mais monsieur pourquoi voulez vous installer cette application XProtect ?" ...)
@Barnadebe :
Je vais aussi me faire l'AppleCare demain soir si pas de mise a jour d'ici là !
Dans un blog j'ai lu qu'il se peut que sous Mavericks Xprotect soit remisé ailleurs dans le système. Empêchant ainsi les malware de modifier le fichier Xprotect
J'ai trouvé qu'on pouvait télécharger les fichiers Xprotect pour 10.6 10.7 10.8 mais pas pour 10.9.
Il semble que depuis 10.9.2 il y ait eu un changement pour Xprotect
Lien de téléchargement d'un updater pour Xprotect :
http://swcdn.apple.com/content/downloads/25/16/031-08850/xuavybw3pll44md3r5ijzzxg85kb7jxa07/XProtectPlistConfigData.pkg
Une fois le patch appliqué, Onyx référence bien la base Xprotect en version 2050.
En effet, ça a marché !
Reste à surveiller les mise à jours au fil du temps...
Merci pour l'astuce, la bdd semble effectivement à jour maintenant.
@caissonbulle :
Comment avez-vous trouvé ce petit patch ?
Je sens qu'à l'avenir il faudra à nouveau utiliser un truc semblable !
En faisant des sauts de puces sur le web, de liens en liens. Un coup de bol quoi !...
@caissonbulle :
Merci. C'est bien ça le problème ! A l'avenir si XProtect ne se met pas à jour il faudra à nouveau chercher un patch.