Tandis que OS X était relativement dépourvu de programmes malveillants pendant les 10 premières années d’utilisation, des alertes de logiciels malveillants ont récemment surgi qui ont affecté un grand nombre de systèmes Mac.
L’un des premiers est la falsification d’antivirus fictif MacDefender, qui obligeait les utilisateurs à émettre des informations de carte de crédit par crainte que leur système ne soit infecté. Cette arnaque s'est transformée assez rapidement en essayant d'éviter la détection et en continuant de contraindre les gens à proposer des informations personnelles. Le malware DNSChanger, qui a touché des millions de systèmes informatiques dans le monde entier, a finalement orienté les systèmes affectés vers des sites Web malveillants. À l'instar du malware MacDefender, il a essayé de pousser les utilisateurs à proposer des informations personnelles.
Le dernier logiciel malveillant à avoir touché OS X est l’arnaque de Flashback, qui a commencé par être une fausse application d’installation du lecteur Flash qui était relativement facile à éviter. Cependant, la menace s'est rapidement transformée en menace plus grave en exploitant les failles de sécurité non corrigées en Java (qu'Apple a corrigées depuis) pour installer sur un Mac exécutant Java en visitant simplement une page Web malveillante et ne nécessitant pas l'attention de l'utilisateur. Jusqu'à présent, on estime qu'il a infecté plus de 600 000 systèmes Mac dans le monde, principalement aux États-Unis et au Canada.
Comment ça marche?
Le logiciel malveillant Flashback injecte du code dans les applications (notamment les navigateurs Web) qui seront exécutées lors de leur exécution, puis qui enverront des captures d'écran et d'autres informations personnelles à des serveurs distants.
Première étape: exploiter Java
Lorsque vous rencontrez la page Web malveillante contenant le programme malveillant et qu'une version non corrigée de Java est exécutée sur votre système, elle exécute d'abord un petit applet Java qui, une fois exécuté, rompra la sécurité Java et écrira un petit programme d'installation sur le compte de l'utilisateur. Le programme s'appelle quelque chose comme .jupdate, .mkeeper, .flserv, .null ou .rserv, et la période le précédant le fait apparaître masqué dans la vue Finder par défaut.
En outre, l'applet Java écrira un fichier de lancement nommé "com.java.update.plist", "com.adobe.reader.plist", "com.adobe.flp.plist" ou même "null.plist". dans le dossier ~ / Library / LaunchAgents / de l'utilisateur actuel, qui lancera en permanence le programme .jupdate chaque fois que l'utilisateur est connecté.
Pour éviter toute détection, le programme d'installation recherchera tout d'abord la présence de certains outils antivirus et autres utilitaires pouvant être présents sur le système d'un utilisateur puissant, qui, selon F-Secure, incluent les éléments suivants:
/ Bibliothèque / Little Snitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode
/ Applications / VirusBarrier X6.app
/Applications/iAntiVirus/iAntiVirus.app
/Applications/avast!.app
/Applications/ClamXav.app
/Applications/HTTPScoop.app
/ Applications / Paquet Peeper.app
Si ces outils sont trouvés, le logiciel malveillant se supprime lui-même afin d'empêcher toute détection par ceux qui en ont les moyens et les capacités. De nombreux programmes malveillants utilisent ce comportement, comme cela a été observé dans d'autres, tels que le bot de logiciels malveillants Tsunami.
Deuxième étape: téléchargement de la charge utile
Lorsque le programme jupdate s'exécute, il se connecte à un serveur distant et télécharge un programme de charge utile qui est le logiciel malveillant lui-même et qui comprend deux composants. Le premier est la partie principale du logiciel malveillant qui capture et télécharge des informations personnelles, et le second est un composant de filtre utilisé pour empêcher le programme malveillant de s'exécuter à moins que des programmes spécifiques tels que des navigateurs Web ne soient utilisés.
Troisième étape: infection
Une fois le logiciel malveillant et le filtre téléchargés, le logiciel malveillant est exécuté pour infecter le système. C'est ici que les utilisateurs verront une alerte concernant une mise à jour logicielle et seront invités à fournir leurs mots de passe. Malheureusement, à ce stade, rien ne peut arrêter l'infection et le fait qu'un mot de passe soit fourni ne change que le mode d'infection.
La racine de la routine d'infection est basée sur le détournement de fichiers de configuration sous OS X lus et exécutés lors de l'exécution de programmes. L'un d'eux, appelé "Info.plist", se trouve dans le dossier "Contenu" de chaque package d'application OS X et est lu à chaque fois que ce programme spécifique est ouvert. La seconde s'appelle "environment.plist" et se trouve dans le compte de l'utilisateur dans un dossier caché (~ / .MacOSX / environment.plist), qui peut être utilisé pour lancer des paramètres chaque fois que des programmes sont ouverts par l'utilisateur.
Le premier mode d'infection consiste à fournir un mot de passe. Dans ce cas, le logiciel malveillant modifie les fichiers Info.plist de Safari et de Firefox pour qu'il s'exécute à chaque fois que ces programmes sont ouverts. Il s'agit du mode d'infection préféré du logiciel malveillant, mais si aucun mot de passe n'est fourni, le logiciel malveillant utilise alors son deuxième mode d'infection, où il modifie le fichier "environment.plist".
En utilisant le fichier environment.plist, le logiciel malveillant s’exécutera à chaque ouverture d’une application, ce qui provoquera des plantages et d’autres comportements anormaux susceptibles de provoquer une alarme pour l’utilisateur. Le logiciel malveillant utilisera alors son composant de filtre pour ne s’exécuter que lorsque certaines applications sont lancés, tels que Safari, Firefox, Skype et même les installations Office.
Dans les deux cas, une fois téléchargé, le logiciel malveillant infectera le système selon l’une de ces approches et s’exécutera chaque fois que des applications cibles telles que les navigateurs Web seront utilisées. Dans les variantes les plus récentes du logiciel malveillant, lorsqu’il est installé à l’aide du fichier "environment.plist", il vérifie également le système pour garantir la présence d’installations complètes de programmes tels que Office ou Skype, et s’efface éventuellement si ces programmes ne sont pas complètement ou correctement. installée. F-Secure pense qu'il s'agit d'une tentative d'empêcher la détection précoce du malware.
Comment est-ce que je le détecte?
La détection du malware est assez facile et nécessite simplement d’ouvrir l’application Terminal dans le dossier / Applications / Utilitaires / et d’exécuter les commandes suivantes:
valeurs par défaut lues ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
par défaut, lisez /Applications/Firefox.app/Contents/Info LSEnvironment
Ces commandes lisent le fichier "Info.plist" de certaines applications cibles et le fichier "environment.plist" du compte d'utilisateur, et déterminent si la variable utilisée par le programme malveillant pour se lancer (appelée "DYLD_INSERT_LIBRARIES") est présente. Si la variable n’est pas présente, ces trois commandes de terminal indiqueront que la paire par défaut "n’existe pas", mais si elles sont présentes, elles donneront un chemin qui pointe vers le fichier de programme malveillant, que vous devriez voir dans le terminal. la fenêtre.
En plus des commandes ci-dessus, vous pouvez vérifier la présence de fichiers .so invisibles créés par des variantes du logiciel malveillant dans le répertoire d'utilisateurs partagé en exécutant la commande suivante dans le terminal:
ls -la ~ /../ Shared /.*. so
Après avoir exécuté cette commande, si vous voyez une sortie "Aucun fichier ou répertoire de ce type", vous ne disposez pas de ces fichiers dans votre répertoire partagé par l'utilisateur. Cependant, s'ils sont présents, vous les verrez listés.
Comment puis-je l'enlever?
Si, après avoir exécuté les trois premières commandes de détection, vous constatez que votre système contient les fichiers modifiés et que vous pensez que le logiciel malveillant est installé, vous pouvez le supprimer en suivant les instructions de suppression manuelle de F-Secure. Ces instructions sont un peu approfondies, mais si vous les suivez à la lettre, vous devriez pouvoir débarrasser le système de l’infection:
- Ouvrez le terminal et exécutez les commandes suivantes (les mêmes que ci-dessus):
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
par défaut, lisez /Applications/Firefox.app/Contents/Info LSEnvironment
valeurs par défaut lues ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES
Lorsque ces commandes sont exécutées, notez le chemin d'accès complet au fichier qui est envoyé à la fenêtre du terminal (il peut être associé au terme "DYLD_INSERT_LIBRARIES"). Pour chacune des commandes générant un chemin de fichier (sans indiquer que la paire de domaine n'existe pas), copiez la section du chemin de fichier complet et exécutez la commande suivante avec le chemin de fichier à la place de FILEPATH dans la commande (copier-coller). cette commande):
grep -a -o '__ldpath __ [- ~] *' FILEPATH
- Localisez les fichiers mentionnés dans le résultat des commandes ci-dessus et supprimez-les. Si vous ne parvenez pas à les localiser dans le Finder, saisissez pour chaque premier type "sudo rm" dans le terminal suivi d'un espace, puis utilisez le curseur de votre souris pour sélectionner le chemin d'accès complet du fichier à partir de la sortie de la première commande, puis utilisez Commande-C. suivi de Command-V pour le copier et le coller dans le terminal. Appuyez ensuite sur Entrée pour exécuter la commande et supprimer ce fichier.
Voir la capture d'écran suivante pour un exemple de ce à quoi cela devrait ressembler:
- Lorsque vous avez supprimé toutes les références de fichiers à l'aide des commandes "par défaut" ci-dessus, vous avez supprimé les fichiers de logiciels malveillants, mais vous devez toujours réinitialiser les applications et les fichiers de compte modifiés. Pour ce faire, exécutez les commandes suivantes:
sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Safari.app/Contents/Info.plist
sudo defaults delete /Applications/Firefox.app/Contents/Info LSEnvironment
sudo chmod 644 /Applications/Firefox.app/Contents/Info.plist
valeurs par défaut delete ~ / .MacOSX / environment DYLD_INSERT_LIBRARIES
launchctl unsetenv DYLD_INSERT_LIBRARIES
- Dans le Finder, accédez au menu Aller à, sélectionnez Bibliothèque (maintenez la touche Option enfoncée dans Lion pour afficher cette option dans le menu), puis ouvrez le dossier LaunchAgents, dans lequel vous devriez voir un fichier nommé "com.java.update". .plist. " Ensuite, tapez la commande suivante dans le terminal (Remarque: modifiez le nom "com.java.update" dans la commande afin de refléter le nom du fichier avant son suffixe .plist, tel que "com.adobe.reader" si vous le souhaitez. avoir ce fichier):
Par défaut, lisez ~ / Library / LaunchAgents / com.java.update ProgramArguments.
Lorsque cette commande est terminée, appuyez sur Entrée et notez le chemin du fichier qui a été affiché dans la fenêtre Terminal.
Comme vous l'avez fait précédemment, localisez ce fichier dans le Finder et supprimez-le. Si ce n'est pas le cas, tapez "sudo rm" suivi d'un espace, puis copiez et collez le chemin du fichier de sortie dans la commande, puis appuyez sur Entrée.
Pour supprimer tous les fichiers .so cachés trouvés précédemment, vous pouvez les supprimer en exécutant la commande suivante dans le terminal (veillez à copier et coller cette commande, car il ne doit y avoir absolument aucun espace dans le dernier composant contenant les symboles et les signes de ponctuation.) ):
sudo rm ~ /../ Shared /.*. so
Une fois cette étape terminée, supprimez le fichier intitulé "com.java.update.plist" (ou "com.adobe.reader.plist" et vous devriez être prêt à partir.
MISE À JOUR: 4/5/2012, 22h00 - Ajout d'instructions de détection et de suppression des fichiers .so cachés utilisés par les variantes précédentes du logiciel malveillant.
Laissez Vos Commentaires