DERNIERE MINUTE (18h30) : Un second virus ciblant MAC OS X 10.4 (Tiger) vient d'être découvert. Il se propage via Bluetooth et exploite la vulnérabilité CAN-2005-1333. Le virus porte le nom de OSX/Inqtana.
Plus d'infos : http://www.vnunet.com/vnunet/news/2150563/second-virus-exploits-bluetooth
Renseignements sur le correctif : http://docs.info.apple.com/article.html?artnum=301381
**********************
OSX.Leap.A est le premier virus s’attaquant à la plateforme MacOS X. Il a été conçu pour se propager au travers de la messagerie instantanée AIM/iChat. Il a été posté sur un forum Mac rumors (http://forums.macrumors.com/) en se faisant passer pour des images de MacOS X Leopard, une version prochaine de MacOS X.
(Image : http://www.viruslist.com/en/weblog)
Il est annoncé comme arrivant sous la forme d’un fichier attaché ayant une taille de 40 893 octets.
Le destinataire a le choix d’accepter, ou non, le fichier. S’il décide de le sauvegarder, il prendra le nom de latestpics.tgz. L’extension indique qu’il s’agit d’un fichier compacté (gzip-compressed tar file). Il contient lui-même 2 fichiers qui, une fois décompactés prennent les noms de :
- ._latestpics (taille 43 694 octets)
- latestpics (taille 39 596 octets)
Ces fichiers sont au standard Apple HFS (Hierarchical File System).
(Image McAfee)
Le résultat du décompactage laisse cependant croire que le fichier restitué est une image JEPG. Selon le standard HFS, ._latestpics contient l’icône trompeuse et les ressources utilisées par le système pour manipuler le fichier (resource fork). Le code exécutable se trouve dans le second fichier (data fork).
Le fichier latestpics est un exécutable compilé à la norme PowerPC. Il est nécessaire de double-cliquer sur sa représentation pour qu’il s’exécute. C’est ce qui risque de se produire si un utilisateur est tenté de visualiser ce qu’il croit être une image.
Lors de cette exécution, le virus affiche un message et commence par se dupliquer dans le répertoire temporaire (/tmp).
(Image : McAfee)
Il recrée une image compressée de lui-même qu’il utilisera dans ces prochains envois. Il crée ensuite sa propre entrée système qui lui permettra de s’exécuter dès qu’une autre application utilisera le mécanisme des InputManagers pour se lancer.
Si l’utilisateur n’est pas lui-même l’administrateur du système, il devra parfois donner le mot de passe associé à ce dernier, pour que le processus décrit ci-dessus s’effectue (droit d’écriture sur le répertoire Application).
Le virus recherche à chacune de ses exécutions, les 4 dernières applications utilisées qui ne sont pas la propriété de l’administrateur (root). S’il les trouve, il modifie leur processus de lancement pour s'exécuter en premier (à la manière d’un virus compagnon). Afin d’éviter les réinfections intempestives, le virus utilise un marqueur qu’il positionne à oompa ou loompa selon que l’application est, ou non déjà infectée.
Ces marqueurs font référence au film Charlie et la Chocolaterie ou les Oompa-Loompas (personnels d’une usine) sont tous joués par une seule personne : l’acteur de petite taille Deep Roy.
Ce processus est bugué, et les applications infectées ne sont plus normalement exécutées.
Bien qu’il semble que l’auteur est également envisagé une propagation par e-mail, le virus ne se propage qu’au travers de la messagerie instantanée : il s'expédie à l'ensemble des personnes de la liste de contacts (AIM/iChat Buddy List).
Le code viral est non optimisé et fait l’effet d’avoir été réalisé en temps que preuve par l’exemple.
Le message Welcome to Darwin ! est crypté par une simple fonction XOR.
La société Apple a réagi face à cette annonce. Elle considère ce nouveau venu comme un programme malveillant et non pas comme un virus : “Leap-A is not a virus, it is malicious software that requires a user to download the application and execute the resulting file,” said Apple. “Apple always advises Macintosh users to only accept files from vendors and Web sites that they know and trust.”
Cette position s’explique par le fait que la personne visée par le virus doit réaliser diverses manipulations avant d’activer la fonction d’auto-reproduction. Notons que ceci est également souvent vrai sous Windows : dans de nombreux cas, il faut passer par un « double-clique » sur une pièce jointe avant que ne débute le processus ; il faut aussi parfois décompresser volontairement cette pièce avant de pouvoir l’exécuter. Un virus n'est pas forcément un ver automatique ! Je considère donc ce code comme viral. Le fait qu’il cherche également à infecter les applications locales confirme mon sentiment.
Les quelques bugs dans cette première version laissent supposer qu’il ne se propagera pas énormément. Le code source étant disponible sur Internet, il risque cependant de faire quelques émules même si le faible pourcentage de Macintosh face à la domination de Windows en diminue très fortement l’intérêt. Même si les passionnés de Macintosh affirment que leur système est beaucoup plus hermétique aux virus que Windows, c’est surtout cette absence d’intérêt qui le protége.
Voici pour finir quelques conseils liés à l’élimination du virus : il faut tout d’abord détruire le fichier qui le contient. Comme indiqué plus haut, il se nomme : lastestpics.
Si il n’a pas été exécuté, aucune autre action n’est nécessaire.
Dans le cas contraire, il faudra effacer du répertoire temporaire les fichiers qui peuvent encore s’y trouver. Il faudra ensuite aller détruire le fichier :
/Users/[CURRENT USER]/Library/InputManagers/apphook.bundle
Le virus sera totalement éliminé après un redémarrage de la machine (vidage de la mémoire).
Si des applications ont été infectées, elles devront être réinstallées à partir de vos sauvegardes.
[CURRENT USER] représente le nom de la session utilisateur au moment de l’infection.
Commentaires