Ouvrir le menu principal

MacGeneration

Recherche

Malware : nouvel outil d'Apple et arrivée de Sabpab

Florian Innocente

samedi 14 avril 2012 à 10:39 • 55

macOS

Apple a mis en ligne son outil de suppression du malware Flashback et de certaines de ses variantes. Il s'agit du même lot inclus dans la précédente mise à jour de Java (2012-003), mais cette fois autonome et que l'utilisateur doit lancer : Flashback malware removal tool [1.0 - 345 Ko - OS X 10.7 - VF].

Surtout, ce petit utilitaire est destiné aux machines équipées de Lion, mais sur lesquelles Java n'était pas déjà présent. Apple aura probablement observé des scénarios dans lesquels une machine peut être infectée sans forcément le concours de Java.

Après son installation, il signalera à l'utilisateur si un logiciel malveillant a été trouvé et l'ôtera, un redémarrage peut être nécessaire pour finir cette opération (la capture ci-après montre le message que l'on peut obtenir en cas de présence).



Dans le cas contraire, si rien n'est trouvé, aucun message n'est affiché à l'utilisateur et les composants installés par Apple dans le système s'effacent automatiquement (CNET France a décortiqué le fonctionnement de cet outil dans sa version intégrée à Java).

Intego, dans un récent billet sur son blog, expliquait que ce malware avait été retrouvé sous au moins 18 variantes, et l'éditeur posait la question de savoir si l'outil d'Apple avait fiché toutes ces déclinaisons. De son côté, Sophos a repéré hier un autre malware, baptisé Sabpab, qui agit de la même manière que Flashback. Il s'installe sans bruit (sans nécessiter une interaction directe de l'utilisateur) et peut se mettre en relation avec un serveur extérieur, avec l'option ensuite de récupérer des informations sur la machine infectée ou d'y exécuter des commandes à distance (actions listées ci-après). Ce malware utilise en fait, comme son devancier, la faille de sécurité dans Java qui a été depuis comblée.



Ce même Sophos, dans une autre note, explique que ce Cheval de Troie peut également figurer dans les sauvegardes Time Machine s'il était présent depuis quelque temps sur le Mac concerné. Deux fichiers logés dans les dossiers Bibliothèque/Preferences de l'utilisateur sont à supprimer, baptisés :
- com.apple.PubSabAgent.pfile
- com.apple.PubSabAgent.plist

Sophos comme Symantec indiquent toutefois que l'activité et le déploiement de ce malware sont considérés comme assez faibles. Et depuis il y aura eu cette distribution du correctif pour Java.

Sur le même sujet :
- Apple publie (enfin) son outil pour supprimer Flashback
illustration magazine 25 ans

MacGeneration a 25 ans !

Participez à la fête et découvrez l’histoire de votre site favori en précommandant notre magazine exclusif.

Je précommande le magazine