New OS X Malcode : Not Just a DNSChanger

– Date : 26 Novembre 2008

– Plateforme : Mac OS X

– Programme : Mac OS X

– Gravité : Moyenne

– Exploitation : Locale

– Dommages :
Vol d’informations
Accès au système

– Description :
Deux nouveaux virus pour les plateformes Mac OS X viennent de voir le jour.

Le premier, nommé "OSX.RSPlug.D", a été repéré sur des serveurs hollandais à partir du lien suivant :
http://online-channels.net/[REMOVED]/random/1696/0/

En visitant ce lien, la page web affiche une erreur Windows sur l’absence de codecs nécessaire afin de visualiser une vidéo.
Un lien propose ensuite de télécharger un fichier DMG "cold-live7000.dmg".

Une fois le DMG monté, un fichier PKG (install.pkg) exécute deux scripts shell "preupgrade" and "preinstall" qui ajoutent une entrée au sein de crontab (tâche planifiée) afin de contacter plusieurs serveurs et de télécharger d’autres logiciels.

Le malware utilise également une technique déjà utilisée par le malware "DNSChanger" en modifiant la configuration DNS du poste afin de router les victimes vers des sites web malicieux (attaques de Phishing).

Le second, baptisé "OSX.Lamzev.A" est un cheval de Troie capable de prendre le contrôle à distance d’un système Mac OS X. Ce dernier ne peut s’installer sans le mot de passe de l’administrateur du système et nécessite donc un accès physique sur le système.

– Référence :

http://asert.arbornetworks.com/2008/11/new-os-x-malcode-not-just-a-dnschanger/

http://news.zdnet.com/2424-9595_22-251586.html

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1227704249