Màj : Mac4Ever a signalé la présence d'un outil gratuit pour se débarfasser du Cheval de Troie.

On pourrait parler de karma, ou de beaux proverbes comme « Tel est pris qui croyait prendre », mais la finalité est la même : les utilisateurs de Mac qui ont téléchargé certaines copies pirates de la suite bureautique iWork ’09 ont été infectés par un Cheval de Troie.

Le troyen au centre du logiciel

La sécurité n’est décidément pas comme une partie de Koh-Lanta et aucun « totem d’immunité » ne peut être gagné. Au moins 20 000 possesseurs de Mac se sont en effet dit qu’il serait intéressant de récupérer la dernière version de la suite bureautique d’Apple, mais sans payer les 79 dollars/euros demandés. Du coup, ils sont allés chercher leurs outils P2P préférés et ont récupéré une copie pirate. Malheureusement, ladite copie contenait un troyen, nommé pour l’occasion OSX.Trojan.iServices.A par l’éditeur de sécurité Intego.

Le vilain équidé s’installe confortablement dans le système Mac OS X en même temps que le logiciel proprement dit. Il est en fait présent dans un paquet nommé iWorkServices.pkg, lui-même intégré dans le corps de la suite. Du coup, quand l’utilisateur autorise l’application à s’installer, le troyen peut sauter de joie et commencer son travail de sape.

Il commence par se définir comme un élément de démarrage et sera relancé systématiquement à chaque allumage de la machine. Il dispose de toutes les autorisations nécessaires (lecture, écriture, exécution) pour fonctionner en mode « root », et peut se connecter à un ou plusieurs serveurs distants pour communiquer avec un personnage évidemment malveillant, ou pour télécharger d’autres composants pour infecter la machine.

Sans antivirus, point de salut

Il ne s’agit pas d’un virus : OSX.Trojan.iServices.A ne peut pas se répandre d’un Mac à un autre. Il n’exploite pas non plus une faille particulière de sécurité. En fait, à l’heure actuelle, le seul moyen de l’attraper est bien d’installer une copie pirate d’iWork ’09 spécialement conçue pour propager l’infection. Mais comment s’en débarrasser ?

Malheureusement, à moins de posséder un antivirus comme les VirusBarrier X4 ou X5 d’Intego, vous ne pourrez pas nettoyer votre système par vous-mêmes. Pour savoir tout d’abord si vous êtes infecté, il faut vérifier la présence d’un élément nommé iWorkServices dans le répertoire StartupItems, qui se trouve dans Système/Bibliothèque. Si c’est le cas, et que vous n’avez pas de logiciel antivirus, la seule solution est un formatage du système.


Le troyen se réplique en effet de lui-même dans d’autres fichiers. Vous ne pouvez plus faire confiance à aucune des applications qui sont présentes sur votre disque dur, et la réinstallation devra d’ailleurs passer par les CD et DVD en votre possession pour être certain de ne pas réinstaller une copie du malware.

Évidemment, le meilleur moyen de ne pas être ennuyé par de tels problèmes est de ne pas chercher de copie pirate d’iWork ’09. On peut même généraliser qu’il est impossible de savoir à l’avance si une version piratée d’un logiciel n’a pas été « trafiquée », à moins d’avoir un bon antivirus à jour. Mais ce n’est pas toujours suffisant.

PS : merci à tous les lecteurs qui nous ont signalé l'information ;)