Mac OS X : un troyen dans les versions pirates d'iWork '09
Pas d'antivirus ni de conscience : mauvais mélange
Màj : Mac4Ever a signalé la présence d'un outil gratuit pour se débarfasser du Cheval de Troie.
On pourrait parler de karma, ou de beaux proverbes comme « Tel est pris qui croyait prendre », mais la finalité est la même : les utilisateurs de Mac qui ont téléchargé certaines copies pirates de la suite bureautique iWork ’09 ont été infectés par un Cheval de Troie.
Le troyen au centre du logiciel
La sécurité n’est décidément pas comme une partie de Koh-Lanta et aucun « totem d’immunité » ne peut être gagné. Au moins 20 000 possesseurs de Mac se sont en effet dit qu’il serait intéressant de récupérer la dernière version de la suite bureautique d’Apple, mais sans payer les 79 dollars/euros demandés. Du coup, ils sont allés chercher leurs outils P2P préférés et ont récupéré une copie pirate. Malheureusement, ladite copie contenait un troyen, nommé pour l’occasion OSX.Trojan.iServices.A par l’éditeur de sécurité Intego.
Le vilain équidé s’installe confortablement dans le système Mac OS X en même temps que le logiciel proprement dit. Il est en fait présent dans un paquet nommé iWorkServices.pkg, lui-même intégré dans le corps de la suite. Du coup, quand l’utilisateur autorise l’application à s’installer, le troyen peut sauter de joie et commencer son travail de sape.
Il commence par se définir comme un élément de démarrage et sera relancé systématiquement à chaque allumage de la machine. Il dispose de toutes les autorisations nécessaires (lecture, écriture, exécution) pour fonctionner en mode « root », et peut se connecter à un ou plusieurs serveurs distants pour communiquer avec un personnage évidemment malveillant, ou pour télécharger d’autres composants pour infecter la machine.
Sans antivirus, point de salut
Il ne s’agit pas d’un virus : OSX.Trojan.iServices.A ne peut pas se répandre d’un Mac à un autre. Il n’exploite pas non plus une faille particulière de sécurité. En fait, à l’heure actuelle, le seul moyen de l’attraper est bien d’installer une copie pirate d’iWork ’09 spécialement conçue pour propager l’infection. Mais comment s’en débarrasser ?
Malheureusement, à moins de posséder un antivirus comme les VirusBarrier X4 ou X5 d’Intego, vous ne pourrez pas nettoyer votre système par vous-mêmes. Pour savoir tout d’abord si vous êtes infecté, il faut vérifier la présence d’un élément nommé iWorkServices dans le répertoire StartupItems, qui se trouve dans Système/Bibliothèque. Si c’est le cas, et que vous n’avez pas de logiciel antivirus, la seule solution est un formatage du système.
Le troyen se réplique en effet de lui-même dans d’autres fichiers. Vous ne pouvez plus faire confiance à aucune des applications qui sont présentes sur votre disque dur, et la réinstallation devra d’ailleurs passer par les CD et DVD en votre possession pour être certain de ne pas réinstaller une copie du malware.
Évidemment, le meilleur moyen de ne pas être ennuyé par de tels problèmes est de ne pas chercher de copie pirate d’iWork ’09. On peut même généraliser qu’il est impossible de savoir à l’avance si une version piratée d’un logiciel n’a pas été « trafiquée », à moins d’avoir un bon antivirus à jour. Mais ce n’est pas toujours suffisant.
PS : merci à tous les lecteurs qui nous ont signalé l'information ;)
On pourrait parler de karma, ou de beaux proverbes comme « Tel est pris qui croyait prendre », mais la finalité est la même : les utilisateurs de Mac qui ont téléchargé certaines copies pirates de la suite bureautique iWork ’09 ont été infectés par un Cheval de Troie.
Le troyen au centre du logiciel
La sécurité n’est décidément pas comme une partie de Koh-Lanta et aucun « totem d’immunité » ne peut être gagné. Au moins 20 000 possesseurs de Mac se sont en effet dit qu’il serait intéressant de récupérer la dernière version de la suite bureautique d’Apple, mais sans payer les 79 dollars/euros demandés. Du coup, ils sont allés chercher leurs outils P2P préférés et ont récupéré une copie pirate. Malheureusement, ladite copie contenait un troyen, nommé pour l’occasion OSX.Trojan.iServices.A par l’éditeur de sécurité Intego.
Le vilain équidé s’installe confortablement dans le système Mac OS X en même temps que le logiciel proprement dit. Il est en fait présent dans un paquet nommé iWorkServices.pkg, lui-même intégré dans le corps de la suite. Du coup, quand l’utilisateur autorise l’application à s’installer, le troyen peut sauter de joie et commencer son travail de sape.
Il commence par se définir comme un élément de démarrage et sera relancé systématiquement à chaque allumage de la machine. Il dispose de toutes les autorisations nécessaires (lecture, écriture, exécution) pour fonctionner en mode « root », et peut se connecter à un ou plusieurs serveurs distants pour communiquer avec un personnage évidemment malveillant, ou pour télécharger d’autres composants pour infecter la machine.
Sans antivirus, point de salut
Il ne s’agit pas d’un virus : OSX.Trojan.iServices.A ne peut pas se répandre d’un Mac à un autre. Il n’exploite pas non plus une faille particulière de sécurité. En fait, à l’heure actuelle, le seul moyen de l’attraper est bien d’installer une copie pirate d’iWork ’09 spécialement conçue pour propager l’infection. Mais comment s’en débarrasser ?
Malheureusement, à moins de posséder un antivirus comme les VirusBarrier X4 ou X5 d’Intego, vous ne pourrez pas nettoyer votre système par vous-mêmes. Pour savoir tout d’abord si vous êtes infecté, il faut vérifier la présence d’un élément nommé iWorkServices dans le répertoire StartupItems, qui se trouve dans Système/Bibliothèque. Si c’est le cas, et que vous n’avez pas de logiciel antivirus, la seule solution est un formatage du système.
Le troyen se réplique en effet de lui-même dans d’autres fichiers. Vous ne pouvez plus faire confiance à aucune des applications qui sont présentes sur votre disque dur, et la réinstallation devra d’ailleurs passer par les CD et DVD en votre possession pour être certain de ne pas réinstaller une copie du malware.
Évidemment, le meilleur moyen de ne pas être ennuyé par de tels problèmes est de ne pas chercher de copie pirate d’iWork ’09. On peut même généraliser qu’il est impossible de savoir à l’avance si une version piratée d’un logiciel n’a pas été « trafiquée », à moins d’avoir un bon antivirus à jour. Mais ce n’est pas toujours suffisant.
PS : merci à tous les lecteurs qui nous ont signalé l'information ;)
Source :
Intego
Vincent Hermann
le 23 janvier 2009 à 10:11
(31 005
lectures)
Actualités et brèves relatives
- 06 / 11 / 2008 : Des millions de pourriels surfent sur la victoire d'Obama
- 23 / 06 / 2008 : Mac OS X : une faille critique et un troyen pour l'exploiter
- 24 / 04 / 2008 : Rapport Microsoft : les troyens ont augmenté de 300 %
- 21 / 04 / 2008 : Le Rock Phish Gang innove en matière de phishing
- 20 / 12 / 2007 : Un nouveau cheval de Troie détourne les pubs de Google Ads
- 20 / 11 / 2007 : Un nouveau cheval de Troie infecte Windows Live Messenger
- 03 / 09 / 2007 : Allemagne : dresser les chevaux de Troie contre le terrorisme
- 27 / 07 / 2006 : FormSpy, un troyen déguisé en extension Firefox
- 24 / 05 / 2006 : Le troyen qui aimait les sites pornographiques
