6 replies to this topic

[Darksky]

Hé oui...

Il semblerait que les premiers n'étaient que le début du commencement pour les utilisateurs d'Apple.

Crisis, c'est son nom, a été découvert et affecte Mac OS 10.6 (snow léopard) et Mac OS 10.7 (Lion).
Il semble capable de s'installer sans demander le mot de passe administrateur et crée plusieurs fichiers et dossiers comme par exemple

/Library/ScriptingAdditions/appleHID/
/System/Library/Frameworks/Foundation.framework/XPCServices/

Il se connecte toutes les 5 minutes à un serveur distant ayant comme IP 176.58.100.37, et est créé pour rendre difficile la tâche de l'analyse en reverse engineering, et est capable de masquer son activité en utilisant des couches système de bas-niveau.
Crisis a été trouvé sur le site VirusTotal utilisé par les experts en sécurité pour partager des morceaux de code de malware.

Source: http://www.clubic.co...ciblant-os.html
Ou encore: http://www.intego.co...ego-virus-team/
Et enfin, avec un peu plus de détails en français: http://www.generatio...te-1606591.html

[Txon]

Merci darkspy1985 !

Les macareux non protégés ont vraiment du soucis à se faire. Ca devient du Windows ce Mac OS X !

Quelques précisions ...

... It's alarming that OSX/Crisis exhibits a number of stealthy qualities rarely seen in OS X malware.
...
Luckily, there are ways to check if your Mac has been infected. If OSX/Crisis is installed on a Mac running in root or administrator mode, the following files will turn up:

• /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/MacOS/com.apple.mdworker_server
• /System/Library/Frameworks/Foundation.framework/XPCServices/com.apple.mdworker_server.xpc/Contents/Resources/
• /Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

However, without root access, only the last file will be present:

• /Library/ScriptingAdditions/appleHID/Contents/Resources/appleOsax.r

OSX/Crisis routinely calls home to the IP address 176.58.100.37 every 5 minutes, awaiting instructions. This IP address could change over time.

Un premier éditeur de logiciels de sécurité a déjà inclus la signature de ce "trojan dropper" dans sa base de connaissance virale : VirusBarrier X6. Il ne faut payer qu'une toute petite cinquantaine de US$. Un broutille pour les riches macareux.

Il se pourrait que ce poison fonctionne aussi sous Windows et soit connu par Sophos sous le nom de Mal/Swissor-S alors que ce même Sophos donne à "Crisis" le nom de OSX/Morcut-A

@+

[Darksky]

Hello,

De rien

En regardant les produits d'Intego pour Mac c'est vrai que ça donne le vertige...

L'antivirus simple comme tu le soulignes et à 59,95€... !!
La version Internet Security et quand à elle à... 94,95€

Elle comporte, en plus de l'antivirus, le "contentbarrier" (contrôle parental), le "File Guard" et le module de sauvegarde (personnal bakcup).
On se plaignait des prix des produits antiviraux sur MS, mais là.... C'est carrément réservé à des bourses bien remplies (on trouve sur MS des versions Internet Security pour le prix de leur antivirus).

Dans les 2 mondes existent des AV gratuits. On les sait relativement performants sur MS, mais qu'en est-il réellement sur Mac?

Bref, il n'est pas bon d'être du côté de la Pomme en ce moment ^^

[Txon]

Elle comporte, en plus de l'antivirus, le "contentbarrier" (contrôle parental), le "File Guard" et le module de sauvegarde (personnal bakcup).

Le "contrôle parental" ! Trop souvent encore un attrappe-couillon ! La raison : les sites dangereux n'ont pas de nom ou en changent et ils se déplacent de serveur en serveur (et donc changent d'IP) de plus en plus vite. Le temps que la liste des IP dangereuses soit mise à jour, elle est déjà caduque.

Dans les 2 mondes existent des AV gratuits. On les sait relativement performants sur MS, mais qu'en est-il réellement sur Mac?
Bref, il n'est pas bon d'être du côté de la Pomme en ce moment ^^

Les macareux sont le plus souvent comme les Mme Michu de Microsoft : des inconscients qui ne veulent pas savoir.
Quand aux antivirus pour Mac OS X, qui aurait pu les tester à fond puisqu'il n'existait presque pas de saletés pour polluer ce système ? Maintenant, il y en a de plus en plus et les "patches" du système sont nécessaires pour éviter le pire. Trop tard pour beaucoup.

@+

[mcgiver]

Une news fraiche montre qu'il s'attaque a bien plus que ça :
http://www.zdnet.fr/....htm#xtor=RSS-1

Faites attention à vos VM !

[Th-Crown]

En effet, cela introduit une nouvelle donne. Moi qui utilise fréquemment VMware, je vais augmenter de précaution. Mais en même temps, cela devait arriver un jour ou l'autre.

[Txon]

Moi qui utilise fréquemment VMware, je vais augmenter de précaution.

Virtualbox (Open-Source - Oracle), Virtual PC (Microsoft), VM manager (Open-Source - Hermanns) ???

Bien après Intego, Symantec a découvert ce mois d'août l'existence de ''Crisis'', un maliciel qui sévissait déjà un mois plus tôt. Takashi Katsuki en propose toutefois une analyse intéressante : Crisis for Windows Sneaks onto Virtual Machines.

@+