Kommunauty
Connexion
Inscription

Mac : Comment éliminer le virus FlashBack

le 12 avril 2012 • Web • par LZB

Explications sur FlashBack, le premier virus à infecter massivement les Macs, et solutions pour s'en débarrasser.

Présentation

Ça aura été une longue trêve entre les Macs et les virus informatiques mais malheureusement le vers qui se nomme FlashBack est en train de relever le défi. Concrètement c'est : d'infecter 600 000 Macintoshs, 4 000 en France, 303 449 aux Etats-Unis, 106 379 au Canada, 68 577 au Royaume-Uni et 32 527 en Australie. C'est un record car je vous rappelle que les ordinateurs d'Apple étaient réputés pour être immunisés (ou presque) contre les vers. Mais ça c'était avant !

Un schéma de DR.Web sur la contamination du virus.

Comment je sais si je suis infecté ?

Déjà, sachez que les sites suivants sont victimes de FlashBack

Sites infectés
Fermer ce cadre

  • godofwar3.rr.nu
  • ironmanvideo.rr.nu
  • killaoftime.rr.nu
  • gangstasparadise.rr.nu
  • mystreamvideo.rr.nu
  • bestustreamtv.rr.nu
  • ustreambesttv.rr.nu
  • ustreamtvonline.rr.nu
  • ustream-tv.rr.nu
  • ustream.rr.nu

Nous pouvons donc constater qu'ils sont tous hébergés sous une extension russe (.rr.ru) et qu'ils ne sont pas à proprement parler très "recommandables" ...

FlashBack se présente comme une MÀJ de Adobe Flash.

Ou alors il vous suffit d'entrer le code suivant dans votre terminal.

defaults read /Applications/Safari.app/Contents/Info LSEnvironment
defaults read /Applications/Firefox.app/Contents/Info LSEnvironment
defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si vous obtenez le message :

The domain/default pair of (chemin d'acces concerné) does not exist

C'est que vous n'avez rien !

Je suis infecté !

Pas de panique Kommunauty est là pour ça !

Tout d'abord rendez vous sur la page d'Apple et téléchargez la MÀJ de sécurité.

Sinon le site F-Secure a fait un excellent tutoriel pour la désinfection malheureusement c'est en anglais alors un petit coup de Google Traduction et c'est bon !

Nous vous avertissons qu'il est préférable d'utiliser la "méthode d'Apple" seuls les utilisateurs confirmés sont invités a prendre part à celle de F-Secure.

Détails techniques

C'est bien beau tout ça mais moi je voudrais bien savoir comment ça a pu arriver ?

Tout d'abord, il faut savoir que le bot exploite les failles CVE-2011-3544, CVE-2008-5353 et CVE-2012-0507

Après introduit, le vers sauvegarde un fichier qui, par la suite, va télécharger et installer un payload. En tout, il y a eu deux versions du virus la deuxième est active depuis début avril.

Dès que l'application est lancée elle va vérifier si les fichiers suivants sont présents :

  • /Library/Little Snitch
  • /Developer/Applications/Xcode.app/Contents/MacOS/Xcode
  • /Applications/VirusBarrier X6.app
  • /Applications/iAntiVirus/iAntiVirus.app
  • /Applications/avast!.app
  • /Applications/ClamXav.app
  • /Applications/HTTPScoop.app
  • /Applications/Packet Peeper.app

S'ils n'y sont pas elle va créer une liste de serveurs de contrôle distants selon un algorithme précis et envoie un message pour signaler que l'opération s'est bien déroulée au serveur de statistique des hackers puis il interroge successivement les serveurs de contrôle distants.

Sources: Korben, F-Secure, DR.Web

  
6 commentaires

Des nouvelles de ce virus ? La MAJ d'Apple a réussi à tout régler ?

le 19 avril 2012

Si j'avais qu'une seule chose a dire là dessus..

Un antivirus ???

"Naon vous êtes fou, moi j'ai un mac, pas besoins d'antivirus, c'est super secure"

le 19 avril 2012

Bonjour, J'ai effectué la vérification à partir de mon terminal et la réponse est négative, ouf. Mais voilà, depuis plus de 4 mois maintenant parfois, à la suite d'un commande particulière que je n'ai pu identifier, apparait sur mon écran, Une image qui semble légitime provenant d'Adobe, me demandant de mettre à jour Flash. Je la soupçonne d'être le virus tentant de s'installer et je ferme simplement la fenêtre. Comment puis je simplement ne plus avoir cette MAJ sur mon ordi? Flash pour le temps qu'il lui reste fonctionne bien dans sa version actuelle sur ma machine.

Merci, Bernard

le 23 juillet 2012

Tout d'abord je vous conseille de refaire la manipulation du terminal pour avoir confirmation de ne pas être infecté. Dans tous les cas il est très fortement recommandé de faire la MAJ de sécurité d'Apple énoncée plus haut après cela vous pourrez mettre a jour Flash (mais en restant attentif).

En espérant vous avoir apporté mon aide, Lucas.

le 26 juillet 2012

Pourriez-vous m'expliquer ce qu'est la MAJ? et ou le trouve -t-on sur le site de apple? Je n'en peux plus je suis inondée de pub....

merci de me répondre

le 18 septembre 2012

Le code me dit que je ne suis pas infecté mais ClamXav que j'ai téléchargé un peu plus tôt trouve Flashback-8. Que faire ?

J'ai déjà téléchargé l'application Apple pour une mise à jour de Java mais ça n'a rien changé...

Merci d'avance.

le 11 octobre 2012



Ajoute un commentaire !

Ajouter une image... Trouvée sur internet » De mon PC »
Adresse URL :
Adresse de la page de la vidéo :
Taille du texte :
Couleur du texte :

Article lu 9951 fois.