SabPub, nouveau trojan aux dents longues sur Mac OS X
En dansant la javanaise
Ces deux dernières semaines, la sécurité des Mac a été impactée par l’arrivée du malware Flashback. Profitant d’une faille Java, la bestiole a dépassé les 650 000 machines infectées au plus fort de sa diffusion. Mais maintenant que le problème est en passe d’être réglé, une nouvelle menace apparaît, également basée sur une faille Java.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
- Allez dans le dossier Bibliothèque de votre compte utilisateur dans le Finder
- Ouvrez le dossier LaunchAgents et cherchez-y le fichier « com.apple.PubSabAgent.plist ». Si vous le trouvez, supprimez-le.
- Ouvrez le dossier Preferences et cherchez-y le fichier « com.apple.PubSabAgent.pfile ». Si vous le trouvez, supprimez-le.
- Déconnectez-vous de la session puis entrez-y à nouveau pour valider les modifications
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
- rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
- rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Source :
Mashable
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 17 avril 2012 à 12:50
(17 582
lectures)
Il y a 81 commentaires
INpactien
mode S. J. :
il faut retirer java de nos machines
il faut retirer java de nos machines
INpactien
Bah c'est la logique des choses, il y'a de plus en plus de Mac sur le marché. En revanche je me suis toujours demandé pourquoi les virus ne se developpent pas vraiment sur les téléphones (que ca soit mac ou android)
INpactien
Mac has now trojans, it's a revolution !
INpactienne
ano_634703639767283037
Le mardi 17 avril 2012 à 13:33:27
#14
Inscrite
le lundi 17 mai 10
-
230
commentaires
Je suis étonnée que Monsieur B n´est pas encore là pour nous faire la morale et nous dire que OSX et Apple sont parfait. J´espère que Microsoft indiquera dans sa future campagne publictaire pour Windows 8 "imunisé contre les malwares Mac" 
INpactien
au fait apple ils disait quoi sur le flash?
Si ils sont logiques ils vont devoir faire retirer le flash de l'internet non? (ou au moins lui cracher a la g* )
Si ils sont logiques ils vont devoir faire retirer le flash de l'internet non? (ou au moins lui cracher a la g* )
INpactien
Je suis étonnée que Monsieur B n´est pas encore là pour nous faire la morale et nous dire que OSX et Apple sont parfait. J´espère que Microsoft indiquera dans sa future campagne publictaire pour Windows 8 "imunisé contre les malwares Mac"
Normalement le petit B est envoyé sur le pont pour couvrir ce genre d'évènement.
Il manque décidément à tous ses devoirs...
INpactienne
ano_634703639767283037
Le mardi 17 avril 2012 à 13:39:08
#17
Inscrite
le lundi 17 mai 10
-
230
commentaires
Il a attrapé un virus 
Commentaire de
Khalev supprimé
le
17/04/2012 à 13:58:42
:
A la demande du lecteur
INpactien
Bah c'est la logique des choses, il y'a de plus en plus de Mac sur le marché. En revanche je me suis toujours demandé pourquoi les virus ne se developpent pas vraiment sur les téléphones (que ca soit mac ou android)
Oh mais il en existe, et un paquet. Mais la surveillance constante du market par Apple et google limite pas mal leur impact. Maintenant si tu télécharges un jeu piraté sur Android (et iPhone dans une moindre mesure) tu finiras assez rapidement avec un petit machin qui va appeler des numéros surtaxés sans te prévenir ou qui va servir pour un botnet hein.
INpactien
on va avoir droit à une news pour chaque virus qui touche des produits apple maintenant?
Ho oui, c'est trop bon!
rien de bien étonnant : plus de machine = plus de potentiel.
mmmmh les ravages des malwares sur mac seront plus violent que sur pc ( avis perso) a cause du matraquage viral des pubs mac -> pas de virus donc un utilisateur en confiance total.
finalement c'est cool que linux reste aussi peu utilisé avec autant de version différente ^^
mmmmh les ravages des malwares sur mac seront plus violent que sur pc ( avis perso) a cause du matraquage viral des pubs mac -> pas de virus donc un utilisateur en confiance total.
finalement c'est cool que linux reste aussi peu utilisé avec autant de version différente ^^
Justement, à la différence de mac, les systèmes linux sont tellement différents d'une distrib à l'autre que même le noyau linux n'est pas exactement le même partout (version différente, quelques correctif par ci par là...). Cette hétérogénéité rend les attaques possibles soit sur qu'une petite portion de code du noyau, soit sur seulement une petite portion des users.
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
HubiC : les premiers clients reçoivent leur année de dédommagement
(19)
Abonné en 2012 ? Surveillez vos mails -
[MàJ] The Pirate Bay de retour
(16)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Ultrabook ASUS Zenbook UX32VD de 13,3" en Full HD : 799,99 €
Valable jusqu'au 27 mai -
20 % de remise sur des accessoires pour l'achat d'une tablette
Valable pendant 12 heures -
Le jeu FIFA 13 pour PC à 24,99 €
Valable jusqu'au 28 mai -
Xbox 360 de 250 Go avec Batman Arkham City et Darksiders II : 192,40 €
Valable jusqu'au 27 mai
