SabPub, nouveau trojan aux dents longues sur Mac OS X
En dansant la javanaise
Ces deux dernières semaines, la sécurité des Mac a été impactée par l’arrivée du malware Flashback. Profitant d’une faille Java, la bestiole a dépassé les 650 000 machines infectées au plus fort de sa diffusion. Mais maintenant que le problème est en passe d’être réglé, une nouvelle menace apparaît, également basée sur une faille Java.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
- Allez dans le dossier Bibliothèque de votre compte utilisateur dans le Finder
- Ouvrez le dossier LaunchAgents et cherchez-y le fichier « com.apple.PubSabAgent.plist ». Si vous le trouvez, supprimez-le.
- Ouvrez le dossier Preferences et cherchez-y le fichier « com.apple.PubSabAgent.pfile ». Si vous le trouvez, supprimez-le.
- Déconnectez-vous de la session puis entrez-y à nouveau pour valider les modifications
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
- rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
- rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Source :
Mashable
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 17 avril 2012 à 12:50
(17 547
lectures)
Il y a 81 commentaires
INpactien
NeoLuxembourg
Le mardi 17 avril 2012 à 13:48:16
#21
Inscrit
le jeudi 3 février 05
-
2164
commentaires
Info: Il existe un fichier SubPub dans ce repertoire qui lui est tout a fait normal!
INpactien
Dacoco974
Le mardi 17 avril 2012 à 13:48:21
#22
Inscrit
le vendredi 23 décembre 05
-
2074
commentaires
ok je corrige ça...
a y est!
Merci, là ça fait trop boulot d'amateur
Justement, à la différence de mac, les systèmes linux sont tellement différents d'une distrib à l'autre que même le noyau linux n'est pas exactement le même partout (version différente, quelques correctif par ci par là...). Cette hétérogénéité rend les attaques possibles soit sur qu'une petite portion de code du noyau, soit sur seulement une petite portion des users.
De toute façon, je pense que les utilisateurs de distribs Linux sont globalement plus "aware" sur les questions de sécurité.
Edité par Dacoco974 le mardi 17 avril 2012 à 13:50
INpactien
Holly Brius
Le mardi 17 avril 2012 à 13:58:09
#23
Inscrit
le vendredi 16 décembre 11
-
839
commentaires
Bref, un trojan pour machine pas à jour... 
INpactien
les systèmes linux sont tellement différents d'une distrib à l'autre que même le noyau linux n'est pas exactement le même partout (version différente, quelques correctif par ci par là...). Cette hétérogénéité rend les attaques possibles soit sur qu'une petite portion de code du noyau, soit sur seulement une petite portion des users.
Heu pas vraiment non, t'as beau avoir quelques différences (patchs perso ou simplement pas la même version du kernel entre chaque distrib), une très grosse partie du code du kernel reste la même partout. La majorité des exploits kernels sont utilisables sur n'importe quelle distrib avec le kernel INpacté.
INpactien
Heu pas vraiment non, t'as beau avoir quelques différences (patchs perso ou simplement pas la même version du kernel entre chaque distrib), une très grosse partie du code du kernel reste la même partout. La majorité des exploits kernels sont utilisables sur n'importe quelle distrib avec le kernel INpacté.
sauf que les patchs de sécurité ne sont pas les mêmes entre debian, archlinux, gentoo, mandriva etc...
INpactien
bien ce que je disait les mac c'est pas invulnerable
Faudrait pas confondre Mac et Java ... Supprimons Java et le souci est règlé.
Avant on disait moins tu as de produits Microsoft installé, plus tu es en sécurité, maintenant il faudra dire Microsoft+Oracle ;)
INpactien
Faudrait pas confondre Mac et Java ... Supprimons Java et le souci est règlé.
Ce malware sur Windows = Windows ça pue c'est pas sécurisé
Ce malware sur Mac = Java ça pue, il faut le supprimer
INpactien
on va avoir droit à une news pour chaque virus qui touche des produits apple maintenant?
Heureusement qu'il n'y a pas une news pour tout les virus windows, il faudrait créer un site dédié.
INpactien
Faudrait pas confondre Mac et Java ... Supprimons Java et le souci est règlé.
Avant on disait moins tu as de produits Microsoft installé, plus tu es en sécurité, maintenant il faudra dire Microsoft+Oracle ;)
Supprimons les ordinateurs et il n'y aura plus de problèmes de virus
INpactien
Dacoco974
Le mardi 17 avril 2012 à 14:14:32
#30
Inscrit
le vendredi 23 décembre 05
-
2074
commentaires
Ce malware sur Windows = Windows ça pue c'est pas sécurisé
Ce malware sur Mac = Java ça pue, il faut le supprimer
+1
Supprimons les ordinateurs utilisateurs et il n'y aura plus de problèmes de virus
Edité par Dacoco974 le mardi 17 avril 2012 à 14:15
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!! -
Google I/O 2013 : suivez la keynote en direct, de 18h à 21h
(20)
Nous, on a déjà prévu l'apéro cahuètes
-
Adhérents Fnac : tous les 100 € d'achat, 15 € en chèque-cadeau
Valable jusqu'au 23 mai -
Un portable tactile Lenovo Yoga 11 pour 361,58 €
Valable pendant 19 heures -
8 Go de DDR3 Kingston HyperX à 1600 MHz pour 49,99 €
Valable jusqu'au 27 mai -
Une tablette ASUS ME400C et un clavier Microsoft Wedge pour 399,90 €
Valable pendant 19 heures
