S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Flash Info : Fêtons la TVA à 2,1 % : abonnez-vous dès 17 € par an !

SabPub, nouveau trojan aux dents longues sur Mac OS X

En dansant la javanaise

Ces deux dernières semaines, la sécurité des Mac a été impactée par l’arrivée du malware Flashback. Profitant d’une faille Java, la bestiole a dépassé les 650 000 machines infectées au plus fort de sa diffusion. Mais maintenant que le problème est en passe d’être réglé, une nouvelle menace apparaît, également basée sur une faille Java.

Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.

Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.

Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
  • Allez dans le dossier Bibliothèque de votre compte utilisateur dans le Finder
  • Ouvrez le dossier LaunchAgents et cherchez-y le fichier « com.apple.PubSabAgent.plist ». Si vous le trouvez, supprimez-le.
  • Ouvrez le dossier Preferences et cherchez-y le fichier « com.apple.PubSabAgent.pfile ». Si vous le trouvez, supprimez-le.
  • Déconnectez-vous de la session puis entrez-y à nouveau pour valider les modifications
sabpub

Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
  • rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
  • rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
sabpub

Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.

Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Source : Mashable
Vincent Hermann

Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.

Publiée le 17/04/2012 à 12:50

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 81 commentaires

Avatar de delsuza INpactien
delsuza Le mardi 17 avril 2012 à 12:57:25
Inscrit le dimanche 13 janvier 08 - 172 commentaires
on est pas dredi pourtant
Avatar de Vindev_HELL84 INpactien
Vindev_HELL84 Le mardi 17 avril 2012 à 12:59:54
Inscrit le mardi 3 janvier 06 - 6954 commentaires
bien ce que je disait les mac c'est pas invulnerable
Avatar de psikobare INpactien
psikobare Le mardi 17 avril 2012 à 13:00:14
Inscrit le lundi 1 août 05 - 5185 commentaires
on va avoir droit à une news pour chaque virus qui touche des produits apple maintenant?
Avatar de yunyun INpactien
yunyun Le mardi 17 avril 2012 à 13:00:39
Inscrit le lundi 16 novembre 09 - 460 commentaires
Heureusement que Kaspersky est la pour trouver les failles, créer les malwares qui vont bien et se présenter comme le sauveur de l'humanité
Avatar de yukon_42 INpactien
yukon_42 Le mardi 17 avril 2012 à 13:05:09
Inscrit le mardi 19 juin 07 - 1488 commentaires
rien de bien étonnant : plus de machine = plus de potentiel.

mmmmh les ravages des malwares sur mac seront plus violent que sur pc ( avis perso) a cause du matraquage viral des pubs mac -> pas de virus donc un utilisateur en confiance total.

finalement c'est cool que linux reste aussi peu utilisé avec autant de version différente ^^

on va avoir droit à une news pour chaque virus qui touche des produits apple maintenant?


toujours plus intéressante que la news : le cousin du fils de la mère du père d'un employé Apple nous dis que...
et vue comment les mac users ( ont cartonnée les pc ce n'est que justice !

Edité par yukon_42 le mardi 17 avril 2012 à 13:07
Avatar de Dacoco974 INpactien
Dacoco974 Le mardi 17 avril 2012 à 13:13:55
Inscrit le vendredi 23 décembre 05 - 2289 commentaires
Pourquoi ce truc est aussi facile à repérer ? Il ne peut pas se planquer et se dupliquer 12 000 fois dans tout le système ?
Avatar de Tner0lf INpactien
Tner0lf Le mardi 17 avril 2012 à 13:16:33
Inscrit le jeudi 6 novembre 08 - 2086 commentaires
Heureusement que Kaspersky est la pour trouver les failles, créer les malwares qui vont bien et se présenter comme le sauveur de l'humanité

Cette mauvaise langue....
Avatar de ZeHiro INpactien
ZeHiro Le mardi 17 avril 2012 à 13:16:42
Inscrit le jeudi 18 décembre 08 - 577 commentaires
Les dev de virus Mac ont beaucoup à apprendre des dev de virus Windows...
Un virus/trojan ne DOIT pas pouvoir se supprimer d'un coup de ligne de commande ...
Amateurs
Avatar de yunyun INpactien
yunyun Le mardi 17 avril 2012 à 13:19:13
Inscrit le lundi 16 novembre 09 - 460 commentaires

Cette mauvaise langue....


C'était ironique, mais c'est quelque chose qui ne m'étonnerait même pas
Avatar de Jeru INpactien
Jeru Le mardi 17 avril 2012 à 13:20:09
Inscrit le samedi 10 février 07 - 1158 commentaires
Pourquoi ce truc est aussi facile à repérer ? Il ne peut pas se planquer et se dupliquer 12 000 fois dans tout le système ?


ok je corrige ça...
a y est!

;