Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Note de sécurité Intego : Le cheval de Troie OSX/Koobface.A s’attaque à Mac OS X

octobre 2010 par Intego Security Alert

La variante Mac de Koobface se propage entre autres via Facebook et Twitter

Malware : OSX/Koobface.A

Risque : faible

Description : Intego a découvert une version Mac du ver Koobface, qui se propage via les
réseaux sociaux comme Facebook, MySpace et Twitter. Cela fait un certain temps que le
centre de recherche de virus d’Intego s’est penché sur ce malware, mais en raison du faible
niveau de risque, aucune information n’a été diffusée publiquement à son sujet. Étant donné
que d’autres rapports traitant de ce malware ont été rendus publics, Intego a décidé de
publier cette note de sécurité.

Des rapports qui évoquaient un cheval de Troie ont effectivement circulé, mais sans
comprendre la portée ou le fonctionnement de ce logiciel malveillant. Cette menace est une
version Mac OS X du ver Koobface qui fait partie d’une attaque multiplateforme et se
répand via un applet Java nuisible. Ce malware se compose lui-même de nombreux
éléments. Dans un souci de simplification, nous utiliserons toutefois le terme de « cheval de
Troie » pour le décrire. (Techniquement, il se propage comme un ver, est installé par le
biais d’un cheval de Troie et installe un rootkit, une porte dérobée, un système de
commande et contrôle ainsi que d’autres éléments.)

Les utilisateurs rencontrent surtout ce malware via des liens sur Facebook, MySpace et
Twitter, mais ces liens existent également dans d’autres sites web. Ils sont redirigés vers
des sites web malveillants afin d’y regarder des vidéos tandis que ces sites tentent de
charger un applet Java. Les utilisateurs en sont avertis via l’alerte de sécurité Java standard
de Mac OS X.

Cliquez sur Afficher les détails pour afficher des informations sur le certificat qui tente
d’obtenir une autorisation :
Les utilisateurs peuvent refuser ou permettre à l’applet d’accéder à leur ordinateur. S’ils
cliquent sur Refuser, l’exécution de l’applet n’a pas lieu et aucune infection ne se produit.

Toutefois, s’ils cliquent sur Autoriser, l’applet est exécuté et tente de télécharger des
fichiers depuis un ou plusieurs serveurs distants. C’est à ce moment que la fonctionnalité
Anti-Spyware de VirusBarrier X6, si elle est activée, alerte les utilisateurs d’une connexion
sortante de Java. Si cela se produit, cliquez sur Refuser pour bloquer la connexion.

Si des fichiers sont téléchargés, ils sont stockés dans un dossier invisible (.jnana) dans le
dossier de départ de l’utilisateur actuel. Ces fichiers comprennent des éléments conçus pour
infecter Mac OS X, Windows et Linux. L’applet Java télécharge également un programme
d’installation qui est lancé et tente d’installer le logiciel malveillant. Bien que chez Intego
nous ayons des preuves de plusieurs infections chez des utilisateurs, nous ne pouvons aller
plus loin pour l’instant, car soit le logiciel malveillant comporte des bugs qui l’empêchent
de s’exécuter correctement, soit les serveurs qu’il contacte ne sont pas actifs ou ne servent
pas les bons fichiers.

Si le malware est installé correctement, il fonctionne potentiellement de la même manière
que le ver Koobface qui infecte Windows. Il exécute un serveur web local et un serveur
IRC, agit sous forme d’une partie d’un botnet et d’un « DNS changer », et peut activer de
nombreuses autres fonctions, par le biais de fichiers installés initialement ou téléchargés a
posteriori. Il se propage en postant des messages sur Facebook, MySpace et Twitter, qui
incitent généralement les utilisateurs à cliquer sur un lien pour visionner une vidéo
quelconque.

Même si ce logiciel est particulièrement malveillant, sa mise en place sous Mac OS X est
actuellement défectueuse, ce qui rend la menace faible. Les utilisateurs Mac doivent
cependant être conscients de l’existence de cette menace et que le cheval de Troie
Koobface peut devenir opérationnel dans le futur et constituer un problème pour les Mac.
Moyens de protection : La première étape pour les utilisateurs qui voient la boîte de
dialogue d’alerte Java ci-dessus est de cliquer sur Refuser. L’applet Java n’est pas exécuté
et le malware n’est pas installé. Ensuite, si la fenêtre d’un programme d’installation
s’affiche spontanément, sans que l’utilisateur n’ait double-cliqué sur un paquet
d’installation, celui-ci doit fermer le programme d’installation. Intego VirusBarrier X6 et
X5 détectent et éliminent ce logiciel malveillant, qu’ils identifient sous le nom
d’OSX/Koobface.A, grâce à leurs filtres actuels contre les menaces.


Voir les articles précédents

    

Voir les articles suivants