Mac : Comment éliminer le virus FlashBack
Explications sur FlashBack, le premier virus à infecter massivement les Macs, et solutions pour s'en débarrasser.
Présentation
Ça aura été une longue trêve entre les Macs et les virus informatiques mais malheureusement le vers qui se nomme FlashBack est en train de relever le défi. Concrètement c'est : d'infecter 600 000 Macintoshs, 4 000 en France, 303 449 aux Etats-Unis, 106 379 au Canada, 68 577 au Royaume-Uni et 32 527 en Australie. C'est un record car je vous rappelle que les ordinateurs d'Apple étaient réputés pour être immunisés (ou presque) contre les vers. Mais ça c'était avant !
Un schéma de DR.Web sur la contamination du virus.
Comment je sais si je suis infecté ?
Déjà, sachez que les sites suivants sont victimes de FlashBack
- godofwar3.rr.nu
- ironmanvideo.rr.nu
- killaoftime.rr.nu
- gangstasparadise.rr.nu
- mystreamvideo.rr.nu
- bestustreamtv.rr.nu
- ustreambesttv.rr.nu
- ustreamtvonline.rr.nu
- ustream-tv.rr.nu
- ustream.rr.nu
Nous pouvons donc constater qu'ils sont tous hébergés sous une extension russe (.rr.ru) et qu'ils ne sont pas à proprement parler très "recommandables" ...
FlashBack se présente comme une MÀJ de Adobe Flash.
Ou alors il vous suffit d'entrer le code suivant dans votre terminal.
defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
Si vous obtenez le message :
The domain/default pair of (chemin d'acces concerné) does not exist
C'est que vous n'avez rien !
Je suis infecté !
Pas de panique Kommunauty est là pour ça !
Tout d'abord rendez vous sur la page d'Apple et téléchargez la MÀJ de sécurité.
Sinon le site F-Secure a fait un excellent tutoriel pour la désinfection malheureusement c'est en anglais alors un petit coup de Google Traduction et c'est bon !
Nous vous avertissons qu'il est préférable d'utiliser la "méthode d'Apple" seuls les utilisateurs confirmés sont invités a prendre part à celle de F-Secure.
Détails techniques
C'est bien beau tout ça mais moi je voudrais bien savoir comment ça a pu arriver ?
Tout d'abord, il faut savoir que le bot exploite les failles CVE-2011-3544, CVE-2008-5353 et CVE-2012-0507
Après introduit, le vers sauvegarde un fichier qui, par la suite, va télécharger et installer un payload. En tout, il y a eu deux versions du virus la deuxième est active depuis début avril.
Dès que l'application est lancée elle va vérifier si les fichiers suivants sont présents :
- /Library/Little Snitch
- /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
- /Applications/VirusBarrier X6.app
- /Applications/iAntiVirus/iAntiVirus.app
- /Applications/avast!.app
- /Applications/ClamXav.app
- /Applications/HTTPScoop.app
- /Applications/Packet Peeper.app
S'ils n'y sont pas elle va créer une liste de serveurs de contrôle distants selon un algorithme précis et envoie un message pour signaler que l'opération s'est bien déroulée au serveur de statistique des hackers puis il interroge successivement les serveurs de contrôle distants.
Fondation d'Isaac Asimov enfin en série TV
Fondation d'Isaac Asimov enfin en série TV
Comment éviter les attaques de phishing ?
Le principe de l'interdit ou le boycott individuel
5 sites de jeux gratuits en ligne à utiliser cette année
Comment j'ai rencontré mon épouse
Quel langage de programmation apprendre en 2021 ?
Comment choisir un ordinateur portable de qualité ?
Sois le premier à débuter une discussion à propos de cet article !
Ajoute un commentaire !