Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Note de sécurité Intego : Le cheval de Troie OSX/Koobface.A s’attaque à Mac OS X

octobre 2010 par Intego Security Alert

La variante Mac de Koobface se propage entre autres via Facebook et Twitter

Malware : OSX/Koobface.A

Risque : faible

Description : Intego a découvert une version Mac du ver Koobface, qui se propage via les réseaux sociaux comme Facebook, MySpace et Twitter. Cela fait un certain temps que le centre de recherche de virus d’Intego s’est penché sur ce malware, mais en raison du faible niveau de risque, aucune information n’a été diffusée publiquement à son sujet. Étant donné que d’autres rapports traitant de ce malware ont été rendus publics, Intego a décidé de publier cette note de sécurité.

Des rapports qui évoquaient un cheval de Troie ont effectivement circulé, mais sans comprendre la portée ou le fonctionnement de ce logiciel malveillant. Cette menace est une version Mac OS X du ver Koobface qui fait partie d’une attaque multiplateforme et se répand via un applet Java nuisible. Ce malware se compose lui-même de nombreux éléments. Dans un souci de simplification, nous utiliserons toutefois le terme de « cheval de Troie » pour le décrire. (Techniquement, il se propage comme un ver, est installé par le biais d’un cheval de Troie et installe un rootkit, une porte dérobée, un système de commande et contrôle ainsi que d’autres éléments.)

Les utilisateurs rencontrent surtout ce malware via des liens sur Facebook, MySpace et Twitter, mais ces liens existent également dans d’autres sites web. Ils sont redirigés vers des sites web malveillants afin d’y regarder des vidéos tandis que ces sites tentent de charger un applet Java. Les utilisateurs en sont avertis via l’alerte de sécurité Java standard de Mac OS X.

Cliquez sur Afficher les détails pour afficher des informations sur le certificat qui tente d’obtenir une autorisation : Les utilisateurs peuvent refuser ou permettre à l’applet d’accéder à leur ordinateur. S’ils cliquent sur Refuser, l’exécution de l’applet n’a pas lieu et aucune infection ne se produit.

Toutefois, s’ils cliquent sur Autoriser, l’applet est exécuté et tente de télécharger des fichiers depuis un ou plusieurs serveurs distants. C’est à ce moment que la fonctionnalité Anti-Spyware de VirusBarrier X6, si elle est activée, alerte les utilisateurs d’une connexion sortante de Java. Si cela se produit, cliquez sur Refuser pour bloquer la connexion.

Si des fichiers sont téléchargés, ils sont stockés dans un dossier invisible (.jnana) dans le dossier de départ de l’utilisateur actuel. Ces fichiers comprennent des éléments conçus pour infecter Mac OS X, Windows et Linux. L’applet Java télécharge également un programme d’installation qui est lancé et tente d’installer le logiciel malveillant. Bien que chez Intego nous ayons des preuves de plusieurs infections chez des utilisateurs, nous ne pouvons aller plus loin pour l’instant, car soit le logiciel malveillant comporte des bugs qui l’empêchent de s’exécuter correctement, soit les serveurs qu’il contacte ne sont pas actifs ou ne servent pas les bons fichiers.

Si le malware est installé correctement, il fonctionne potentiellement de la même manière que le ver Koobface qui infecte Windows. Il exécute un serveur web local et un serveur IRC, agit sous forme d’une partie d’un botnet et d’un « DNS changer », et peut activer de nombreuses autres fonctions, par le biais de fichiers installés initialement ou téléchargés a posteriori. Il se propage en postant des messages sur Facebook, MySpace et Twitter, qui incitent généralement les utilisateurs à cliquer sur un lien pour visionner une vidéo quelconque.

Même si ce logiciel est particulièrement malveillant, sa mise en place sous Mac OS X est actuellement défectueuse, ce qui rend la menace faible. Les utilisateurs Mac doivent cependant être conscients de l’existence de cette menace et que le cheval de Troie Koobface peut devenir opérationnel dans le futur et constituer un problème pour les Mac. Moyens de protection : La première étape pour les utilisateurs qui voient la boîte de dialogue d’alerte Java ci-dessus est de cliquer sur Refuser. L’applet Java n’est pas exécuté et le malware n’est pas installé. Ensuite, si la fenêtre d’un programme d’installation s’affiche spontanément, sans que l’utilisateur n’ait double-cliqué sur un paquet d’installation, celui-ci doit fermer le programme d’installation. Intego VirusBarrier X6 et X5 détectent et éliminent ce logiciel malveillant, qu’ils identifient sous le nom d’OSX/Koobface.A, grâce à leurs filtres actuels contre les menaces.




Voir les articles précédents

    

Voir les articles suivants