Exploit : cheval de Troie « OSX.Trojan.iServices.B »

Découverte : le 25 janvier 2009

Risque : sérieux

Description : Intego a découvert une nouvelle variante du cheval de Troie iServices
déjà détecté par la société le 22 janvier 2009. Ce nouveau cheval de Troie, appelé « OSX.Trojan.iServices.B », circule comme son prédécesseur dans un logiciel piraté
distribué via des sites BitTorrent et autres proposant des liens vers des logiciels piratés.

Le cheval de Troie « OSX.Trojan.iServices.B » est dissimulé dans le paquet
d’installation du logiciel Adobe Photoshop CS4 pour Mac. Le programme d’installation
Photoshop lui-même est tout à fait normal, mais le cheval de Troie est caché dans
l’application de craquage destinée à obtenir un numéro de série.
Après avoir téléchargé cette version de Photoshop, l’utilisateur doit exécuter le
programme de craquage qui lui permettra d’utiliser application. Le programme de
craquage extrait un exécutable de ses données, puis installe une porte dérobée dans
/var/tmp/, un répertoire qui n’est pas supprimé au redémarrage de l’ordinateur. (Le
cheval de Troie crée un nouvel exécutable portant un autre nom chaque fois que
l’utilisateur exécute le programme de craquage. Ces noms attribués au hasard rendent la
suppression sécurisée du logiciel malveillant plus compliquée.)

Le programme de craquage demande ensuite un mot de passe d’administrateur pour
lancer la porte dérobée avec des privilèges root. Cela lui permet de copier l’exécutable
dans /usr/bin/DivX, puis de créer un élément ouvert au démarrage dans
/System/Bibliothèque/StartupItems/DivX. Le programme vérifie ensuite s’il a bien été
lancé avec les privilèges root, puis enregistre l’empreinte du mot de passe root dans le
fichier /var/root/.DivX. Il écoute un port TCP pris au hasard, répond à des requêtes
comme GET / HTTP/1.0 en envoyant un paquet de 209 octets et établit des connexions
répétées à deux adresses IP.

Il ouvre ensuite dans un dossier nommé « .data » une image disque cachée dans son
dossier de ressources, puis effectue le craquage de l’application Photoshop.

Comme le logiciel malveillant se connecte à un serveur distant via Internet, son créateur
est alerté chaque fois que le cheval de Troie est installé sur un Mac et peut ainsi se
connecter à ce dernier pour effectuer toutes sortes d’opérations à distance. Le cheval de
Troie peut aussi télécharger des composants supplémentaires sur l’ordinateur Mac
infecté.

Intego publie cette alerte pour avertir les utilisateurs Mac de ne pas télécharger de
programme d’installation Photoshop CS4 à partir de sites proposant des logiciels
piratés. (Selon l’un des principaux sites de distribution BitTorrent, au moins
5 000 personnes avaient déjà téléchargé ce programme d’installation à midi, heure de
Paris.) Comme dans ce cas, le cheval de Troie n’est dissimulé que dans le programme
de craquage qui accompagne l’application Photoshop CS4, nous conseillons aux
utilisateurs d’éviter de télécharger tout programme de craquage à partir de sites
proposant des logiciels piratés. Le risque d’infection est sérieux, car le nombre
d’utilisateurs infectés est élevé et que ces derniers risquent des conséquences
extrêmement graves si leur Mac est accessible à des utilisateurs malveillants. La
première version de ce cheval de Troie était capable de télécharger du code
supplémentaire sur les ordinateurs infectés pour lancer ensuite des attaques par DDoS
(déni de service distribué) contre certains sites web. Comme cette nouvelle variante
utilise la même technologie et se connecte aux mêmes serveurs distants, il est très
probable qu’elle essayera également de télécharger du code supplémentaire pour
exécuter de telles actions.
Intego VirusBarrier X4 et X5, avec les définitions de virus datées du 25 janvier 2009 ou
d’une date ultérieure, assurent une protection contre ce cheval de Troie. Intego conseille
aux utilisateurs de ne jamais télécharger et installer des logiciels provenant de sources
incertaines ou de sites web suspects. Malgré les avertissements de sécurité publiés par
Intego à propos de la première version de ce cheval de Troie et malgré ce qui a été dit à
propos des sites de distribution BitTorrent, des utilisateurs continuent à télécharger ces
programmes infectés. Le logiciel piraté iWork 09 que nous avons signalé le 22 janvier a
été téléchargé par au moins 1000 personnes de plus depuis cet avertissement. C’est pour
cette raison que nous considérons ce cheval de Troie comme un risque sérieux.