Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Alerte de sécurité Intego : Une nouvelle variante du cheval de Troie Mac iServices est découverte dans une version piratée d’Adobe Photoshop CS4

janvier 2009 par Intego Security Alert

Exploit : cheval de Troie « OSX.Trojan.iServices.B »

Découverte : le 25 janvier 2009

Risque : sérieux

Description : Intego a découvert une nouvelle variante du cheval de Troie iServices déjà détecté par la société le 22 janvier 2009. Ce nouveau cheval de Troie, appelé « OSX.Trojan.iServices.B », circule comme son prédécesseur dans un logiciel piraté distribué via des sites BitTorrent et autres proposant des liens vers des logiciels piratés.

Le cheval de Troie « OSX.Trojan.iServices.B » est dissimulé dans le paquet d’installation du logiciel Adobe Photoshop CS4 pour Mac. Le programme d’installation Photoshop lui-même est tout à fait normal, mais le cheval de Troie est caché dans l’application de craquage destinée à obtenir un numéro de série. Après avoir téléchargé cette version de Photoshop, l’utilisateur doit exécuter le programme de craquage qui lui permettra d’utiliser application. Le programme de craquage extrait un exécutable de ses données, puis installe une porte dérobée dans /var/tmp/, un répertoire qui n’est pas supprimé au redémarrage de l’ordinateur. (Le cheval de Troie crée un nouvel exécutable portant un autre nom chaque fois que l’utilisateur exécute le programme de craquage. Ces noms attribués au hasard rendent la suppression sécurisée du logiciel malveillant plus compliquée.)

Le programme de craquage demande ensuite un mot de passe d’administrateur pour lancer la porte dérobée avec des privilèges root. Cela lui permet de copier l’exécutable dans /usr/bin/DivX, puis de créer un élément ouvert au démarrage dans /System/Bibliothèque/StartupItems/DivX. Le programme vérifie ensuite s’il a bien été lancé avec les privilèges root, puis enregistre l’empreinte du mot de passe root dans le fichier /var/root/.DivX. Il écoute un port TCP pris au hasard, répond à des requêtes comme GET / HTTP/1.0 en envoyant un paquet de 209 octets et établit des connexions répétées à deux adresses IP.

Il ouvre ensuite dans un dossier nommé « .data » une image disque cachée dans son dossier de ressources, puis effectue le craquage de l’application Photoshop.

Comme le logiciel malveillant se connecte à un serveur distant via Internet, son créateur est alerté chaque fois que le cheval de Troie est installé sur un Mac et peut ainsi se connecter à ce dernier pour effectuer toutes sortes d’opérations à distance. Le cheval de Troie peut aussi télécharger des composants supplémentaires sur l’ordinateur Mac infecté.

Intego publie cette alerte pour avertir les utilisateurs Mac de ne pas télécharger de programme d’installation Photoshop CS4 à partir de sites proposant des logiciels piratés. (Selon l’un des principaux sites de distribution BitTorrent, au moins 5 000 personnes avaient déjà téléchargé ce programme d’installation à midi, heure de Paris.) Comme dans ce cas, le cheval de Troie n’est dissimulé que dans le programme de craquage qui accompagne l’application Photoshop CS4, nous conseillons aux utilisateurs d’éviter de télécharger tout programme de craquage à partir de sites proposant des logiciels piratés. Le risque d’infection est sérieux, car le nombre d’utilisateurs infectés est élevé et que ces derniers risquent des conséquences extrêmement graves si leur Mac est accessible à des utilisateurs malveillants. La première version de ce cheval de Troie était capable de télécharger du code supplémentaire sur les ordinateurs infectés pour lancer ensuite des attaques par DDoS (déni de service distribué) contre certains sites web. Comme cette nouvelle variante utilise la même technologie et se connecte aux mêmes serveurs distants, il est très probable qu’elle essayera également de télécharger du code supplémentaire pour exécuter de telles actions. Intego VirusBarrier X4 et X5, avec les définitions de virus datées du 25 janvier 2009 ou d’une date ultérieure, assurent une protection contre ce cheval de Troie. Intego conseille aux utilisateurs de ne jamais télécharger et installer des logiciels provenant de sources incertaines ou de sites web suspects. Malgré les avertissements de sécurité publiés par Intego à propos de la première version de ce cheval de Troie et malgré ce qui a été dit à propos des sites de distribution BitTorrent, des utilisateurs continuent à télécharger ces programmes infectés. Le logiciel piraté iWork 09 que nous avons signalé le 22 janvier a été téléchargé par au moins 1000 personnes de plus depuis cet avertissement. C’est pour cette raison que nous considérons ce cheval de Troie comme un risque sérieux.




Voir les articles précédents

    

Voir les articles suivants