Un nouveau Troyen vient de faire son apparition sur notre plate-forme. Il s'agit de Trojan-Dropper:OSX/Revir.A, une application qui prend la forme d'un document PDF rédigé en chinois. Le contenu du PDF est bien entendu susceptible d'évoluer à tout moment.
Lorsque vous l'ouvrez, un exécutable se met en route à votre insu, afin d'installer une porte dérobée. Ce malware qui ne marche que sur les Mac Intel est en théorie capable de prendre des captures d'écran et de les envoyer vers un serveur distant. Manifestement, il peut exécuter d'autres commandes. Du moins en théorie, car pour l'heure, il n'est pas entièrement fonctionnel, il ne parvient pas à communiquer avec son serveur distant.
Pour Intego, dans l'état des choses, il s'agit d'une preuve de concept. L'éditeur indique que le fichier en question ne semble pas se propager sur le web. Il va de soi que si une "offensive" venait à être menée, le courriel serait le vecteur de propagation privilégié.
Dans le cas où vous auriez un doute, lancez le Moniteur d'activité et recherchez le processus suivant "checkvir".
Dans le cas très improbable où… il vous faudra alors forcer à quitter cette application et effacer les fichiers en question :
/users/user/Library/LaunchAgents/checkvir
/users/user/Library/LaunchAgents/checkvir.plist
Lorsque vous l'ouvrez, un exécutable se met en route à votre insu, afin d'installer une porte dérobée. Ce malware qui ne marche que sur les Mac Intel est en théorie capable de prendre des captures d'écran et de les envoyer vers un serveur distant. Manifestement, il peut exécuter d'autres commandes. Du moins en théorie, car pour l'heure, il n'est pas entièrement fonctionnel, il ne parvient pas à communiquer avec son serveur distant.
Pour Intego, dans l'état des choses, il s'agit d'une preuve de concept. L'éditeur indique que le fichier en question ne semble pas se propager sur le web. Il va de soi que si une "offensive" venait à être menée, le courriel serait le vecteur de propagation privilégié.
Dans le cas où vous auriez un doute, lancez le Moniteur d'activité et recherchez le processus suivant "checkvir".
Dans le cas très improbable où… il vous faudra alors forcer à quitter cette application et effacer les fichiers en question :
/users/user/Library/LaunchAgents/checkvir
/users/user/Library/LaunchAgents/checkvir.plist
