vue Mac : Comment éliminer le virus FlashBack
Kommunauty
Connexion
Inscription

Mac : Comment éliminer le virus FlashBack

le 12 avril 2012 • Web • par LZB

Explications sur FlashBack, le premier virus à infecter massivement les Macs, et solutions pour s'en débarrasser.

Présentation

Ça aura été une longue trêve entre les Macs et les virus informatiques mais malheureusement le vers qui se nomme FlashBack est en train de relever le défi. Concrètement c'est : d'infecter 600 000 Macintoshs, 4 000 en France, 303 449 aux Etats-Unis, 106 379 au Canada, 68 577 au Royaume-Uni et 32 527 en Australie. C'est un record car je vous rappelle que les ordinateurs d'Apple étaient réputés pour être immunisés (ou presque) contre les vers. Mais ça c'était avant !

Un schéma de DR.Web sur la contamination du virus.

Comment je sais si je suis infecté ?

Déjà, sachez que les sites suivants sont victimes de FlashBack

Sites infectés
Fermer ce cadre

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

Nous pouvons donc constater qu'ils sont tous hébergés sous une extension russe (.rr.ru) et qu'ils ne sont pas à proprement parler très "recommandables" ...

FlashBack se présente comme une MÀJ de Adobe Flash.

Ou alors il vous suffit d'entrer le code suivant dans votre terminal.

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si vous obtenez le message :

The domain/default pair of (chemin d'acces concerné) does not exist

C'est que vous n'avez rien !

Je suis infecté !

Pas de panique Kommunauty est là pour ça !

Tout d'abord rendez vous sur la page d'Apple et téléchargez la MÀJ de sécurité.

Sinon le site F-Secure a fait un excellent tutoriel pour la désinfection malheureusement c'est en anglais alors un petit coup de Google Traduction et c'est bon !

Nous vous avertissons qu'il est préférable d'utiliser la "méthode d'Apple" seuls les utilisateurs confirmés sont invités a prendre part à celle de F-Secure.

Détails techniques

C'est bien beau tout ça mais moi je voudrais bien savoir comment ça a pu arriver ?

Tout d'abord, il faut savoir que le bot exploite les failles CVE-2011-3544, CVE-2008-5353 et CVE-2012-0507

Après introduit, le vers sauvegarde un fichier qui, par la suite, va télécharger et installer un payload. En tout, il y a eu deux versions du virus la deuxième est active depuis début avril.

Dès que l'application est lancée elle va vérifier si les fichiers suivants sont présents :

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

S'ils n'y sont pas elle va créer une liste de serveurs de contrôle distants selon un algorithme précis et envoie un message pour signaler que l'opération s'est bien déroulée au serveur de statistique des hackers puis il interroge successivement les serveurs de contrôle distants.

Sources: Korben, F-Secure, DR.Web

  
Aucun commentaire

Sois le premier à débuter une discussion à propos de cet article !



Ajoute un commentaire !

Ajouter une image... Trouvée sur internet » De mon PC »
Adresse URL :
Adresse de la page de la vidéo :
Taille du texte :
Couleur du texte :

Article lu 12737 fois.