SabPub, nouveau trojan aux dents longues sur Mac OS X
En dansant la javanaise
Ces deux dernières semaines, la sécurité des Mac a été impactée par l’arrivée du malware Flashback. Profitant d’une faille Java, la bestiole a dépassé les 650 000 machines infectées au plus fort de sa diffusion. Mais maintenant que le problème est en passe d’être réglé, une nouvelle menace apparaît, également basée sur une faille Java.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Le plus gros problème dans le cas de Flashback avait été le temps mis par Apple pour diffuser un correctif Java pourtant disponible chez Oracle depuis février. Le nouveau venu, nommé Backdoor.OSX.SabPub.a ou plus simplement SabPub, a été découvert durant le week-end par Kaspersky et se base lui aussi sur une faille Java. Pour information, cette faille est déjà corrigée et Kaspersky recommande aux utilisateurs de télécharger immédiatement les dernières mises à jour diffusées par Apple. Même son de cloche chez Sophos qui juge la faille très dangeureuse.
Toutefois, bien que Flashback et SabPub ait en commun l’utilisation d’une faille Java, les deux malwares sont très différents. Flashback est principalement un « clickjacking bot » qui va modifier le contenu des résultats de recherche dans le navigateur. SabPub est un véritable cheval de Troie qui, une fois en place, ouvre tous les accès de la machine à d’autres attaques. Son installation se fait au moyen d’URL envoyées par email et pointant directement vers le malware.
Selon Kaspersky, SabPub a un potentiel plus grand que Flashback. Cela étant, il existe des techniques simples pour s’en débarrasser, sans recourir à un outil spécialisé. Pour vérifier si SabPub est sur votre machine :
- Allez dans le dossier Bibliothèque de votre compte utilisateur dans le Finder
- Ouvrez le dossier LaunchAgents et cherchez-y le fichier « com.apple.PubSabAgent.plist ». Si vous le trouvez, supprimez-le.
- Ouvrez le dossier Preferences et cherchez-y le fichier « com.apple.PubSabAgent.pfile ». Si vous le trouvez, supprimez-le.
- Déconnectez-vous de la session puis entrez-y à nouveau pour valider les modifications
Ces manipulations peuvent également êtra faites depuis des lignes de commande dans le Terminal :
- rm ~/Library/LaunchAgents/com.apple.PubSabAgent.plist
- rm ~/Library/Preferences/com.apple.PubSabAgent.pfile
Si le Terminal vous répond dans les deux cas « No such file or directory », c’est que la machine n’est pas infectée. Dans le cas contraire, fermez puis rouvrez votre session utilisateur.
Kaspersky note qu’actuellement le domaine C&C (Control & Command) pour SabPub a été fermé. L’éditeur s’attend toutefois à une arrivée rapide de plusieurs variantes du troyen avec d’autres domaines C&C. Kasperksy indique par ailleurs que la sécurité du monde Mac est en train de changer : avant 2012, 300 malwares et variantes avait été enregistrés, mais 70 nouveaux venus sont apparus sur le seul premier trimestre 2012.
Source :
Mashable
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 17 avril 2012 à 12:50
(17 560
lectures)
Il y a 81 commentaires
INpactien
Non pas du tout, mais au bout d'un moment, il y en a marre de ces newbies qui trollent sans cesse sur OS X alors qu'ils ne connaissent finalement pas grand chose de tout ce qu'il y a eu dans l'informatique en dehors de Windows et dont l'expérience se limite souvent à Facebook et Battlefield ... et je ne vois pas en quoi je devrais avoir honte de mon expérience ... surtout que j'ai surement assemblé bien plus de PC pendant toutes ces années que la plupart ...
@Ergo, je suis développeur, je bosse actuellement sur Seven, et auparavent sur XP, 2000, NT4/95, 3.1, etc ... plus tous les unix possible (AIX/HP/UX/Irix/Solaris/SCO UX/Ultrix/Linux/OS X). Je bouffe tous les jours du C, de l'Oracle, du SQL Serveur, du XML/XSL, du BIRT, un poil d'Objective C a titre perso, etc ... J'ai aussi passé 4 ans chez HP, qui me semble-t-il est un constructeur de PC ou alors j'ai rien compris à mon boulot
, alors ton petit compliment "bloqué 33 ans avant", tu peux le garder, merci ;) Du calme papy, c'est pas bon pour la tension.
C'est juste que ta première intervention était un poil agressive d'où les réactions de même.
INpactien
Ah, les fanboys sont de sortie, ils ne sont pas contents donc ils sont vulgaires. Je ne savais pas que certains pouvaient être autant atteints par le marketing d´Apple
Petite vulgarité de comptoir hein, c'est pas très gros... non ?
Et puis pour "fanboy" ou "marketing Apple", tu peux repasser, tu trouveras mieux ailleurs crois moi. Apple est vraiment le dernier de mes soucis, je me fous royalement de la boite comme de toutes les autres boites d'ailleurs.
Toi par contre, on ne peut pas dire que tu fasses preuve d'un grand ...recul, je dirais... ça sent la hateboyerie à plein nez à chacune de tes lignes, ça finit par se voir vite
Tu sais, justifier tout ça par des années de frustration et de contrariété passke 3 fanboys te martelaient qu'OSX était imperméable, c'est un peu léger (enfin tu m'diras ça dépend de ton audience); ça ne fait que montrer, en fait, que le peu de recul que tu as maintenant (en te réjouissant de la propagation de n'importe quelle tendance néfaste) est le même que celui que tu n'as jamais eu avant (en t'énnervant devant quelques pelés qui te soutenaient l'insoutenable).
Évidemment, tu as compris que ça ne concernait pas que toi, m'enfin tu m'as l'air d'être un très beau specimen
INpactien
Ah Melaure, je pense que tu devrais te consacrer un peu plus a ce que tu fais autour du Mac parce que sur les forums tu deviens juste une grosse caricature de toi-meme (et ca inclut les forums Mac).
INpactienne
ano_634703639767283037
Le mercredi 18 avril 2012 à 12:58:52
#74
Inscrite
le lundi 17 mai 10
-
230
commentaires
Petite vulgarité de comptoir hein, c'est pas très gros... non ?
Et puis pour "fanboy" ou "marketing Apple", tu peux repasser, tu trouveras mieux ailleurs crois moi. Apple est vraiment le dernier de mes soucis, je me fous royalement de la boite comme de toutes les autres boites d'ailleurs.
Toi par contre, on ne peut pas dire que tu fasses preuve d'un grand ...recul, je dirais... ça sent la hateboyerie à plein nez à chacune de tes lignes, ça finit par se voir vite
Tu sais, justifier tout ça par des années de frustration et de contrariété passke 3 fanboys te martelaient qu'OSX était imperméable, c'est un peu léger (enfin tu m'diras ça dépend de ton audience); ça ne fait que montrer, en fait, que le peu de recul que tu as maintenant (en te réjouissant de la propagation de n'importe quelle tendance néfaste) est le même que celui que tu n'as jamais eu avant (en t'énnervant devant quelques pelés qui te soutenaient l'insoutenable).
Évidemment, tu as compris que ça ne concernait pas que toi, m'enfin tu m'as l'air d'être un très beau specimen
Typique du fanboy
en plus je n´ai rien compris de la plupart de ton commentaire tellement c´est incohérent, mais bon, c´est bien connu, les macusers préfèrent critiquer la forme plutôt que le fond. Et encore, dans ton cas, ta vulgarité fait preuve d´une certaine débilité inquiétante
INpactien
Typique du fanboy
en plus je n´ai rien compris de la plupart de ton commentaire tellement c´est incohérent, mais bon, c´est bien connu, les macusers préfèrent critiquer la forme plutôt que le fond. Et encore, dans ton cas, ta vulgarité fait preuve d´une certaine débilité inquiétanteÇa voulait dire, entre autres, que c'est typique du hateboy d'étiqueter "fanboy" tout ce qui ne va pas dans son sens, c'est plus simple, facile, médiocre et stérile. "La barbe du hateboy est souvent plus longue que le prétendu fanboy qu'il pourchasse". Après, ce n'était qu'une explication éventuelle du "pourquoi hateboy"...
Edité par zorglob le mercredi 18 avril 2012 à 13:27
INpactienne
ano_634703639767283037
Le mercredi 18 avril 2012 à 13:30:04
#76
Inscrite
le lundi 17 mai 10
-
230
commentaires
Aller, un imbécile de plus à filtrer, ainsi je ne vais plus devoir m´abaisser à ton niveau pour lire tes commentaires 
INpactien
Allez, un imbécile de plus à filtrer, ainsi je ne vais plus devoir m´abaisser à ton niveau pour lire tes commentaires
INpactien
ben ça vole bas les zenfants.
Et le coup du filtre
Et le coup du filtre
INpactien
ben ça vole bas les zenfants.
Et le coup du filtre
Et le coup du filtre
C'est comme Facebook, "Si tu me parles comme ça, je te bloque!" "Oh non pas ça,méchant"
Commentaire de
Maitre Nounouille supprimé
le
18/04/2012 à 19:14:20
:
Provocation
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
-
![[MàJ] The Pirate Bay de retour](data:image/gif;base64,R0lGODlhAQABAAAAACH5BAEKAAEALAAAAAABAAEAAAICTAEAOw==)
[MàJ] The Pirate Bay de retour
(15)
Le bateau coule ? -
Bing Translator parle Klingon
(13)
HIjol -
Les jeux sur Google+, c'est fini
(46)
Facebook m'a tuer -
Nouveau Google Maps : demandez votre invitation
(12)
Moi, moi, moi !!!
![[MàJ] The Pirate Bay de retour](http://static.pcinpact.com/images/bd/dedicated/79905.jpg)
-
Une alimentation modulaire Enermax Naxn de 750 W pour 99,90 €
Valable jusqu'au 26 mai -
Une souris filaire Razer Deathadder 2013 pour 46,69 €
Valable jusqu'au 26 mai -
Un moniteur LED Viewsonic de 27 pouces avec 2 HDMI : 191,90 €
Valable jusqu'au 26 mai -
Un boîtier Antec Lanboy Air bleu pour 79,99 €
Valable jusqu'au 26 mai
