Instructions pour savoir si votre Mac est infecté par le cheval de Troie Flashback, pour protéger votre ordinateur et éventuellement comment supprimer le virus
En des temps non suspects, j’avais déjà écrit un post sur le meilleur antivirus pour Mac en précisant que, bien que le système d’exploitation d’un ordinateur Apple basé sur Unix n’est pas une cible de pirates, il existe encore des technologies web qui nécessitent un logiciel spécifique sur n’importe quel ordinateur.
Les programmes comme Flash et Java sont toujours de succulentes cibles pour les pirates et les virus.
Le virus qui infecte de nombreux ordinateurs Mac, en particulier aux États-Unis (et arrivera rapidement en France) d’une manière silencieuse et occulte s’appelle FlashBack, un cheval de Troie (voir ce qui est un cheval de Troie) initialement découvert en Septembre 2011 qui a été conçu pour cacher dans Adobe Flash Player.
Ce qui fait le plus de dégâts, cependant, est une variante appelée Flashback.K qui s’appuie plutôt sur le plugin Java.
Après l’installation de Flashback, le logiciel malveillant recherche les noms d’utilisateur et les mots de passe stockés sur le Mac.
Il n’y a pas de symptômes visibles de ce virus pour Mac, à l’exception des connexions fulgurantes à des serveurs inconnus qui ne peuvent être remarquées que dans les journaux du pare-feu.
La mauvaise chose à propos de ces types d’infections est la difficulté de les bloquer sans déconnecter votre ordinateur d’Internet.
Depuis en France, il n’est pas encore très répandu, il est le cas que tous les propriétaires d’un ordinateur MAC protéger l’ordinateur de contracter le virus, immédiatement, le téléchargement la dernière mise à jour Apple.
Cliquez ensuite sur le logo Apple en haut à gauche de votre bureau, sélectionnez Software Update et installez tous les correctifs disponibles aujourd’hui.
En particulier, vous devez télécharger le patch pour protéger le MAC de Flashback qui est documenté par le site Apple et protège Mac OSX, Mac OSX Server v10.6.8 et OS X Lion.
Pour vérifier si votre ordinateur MAC est infecté par le virus Flashback, en l’absence de symptômes, vous devez effectuer cette procédure :
Téléchargez le fichier zip à partir de cette page (dans le menu Fichier – Télécharger), extrayez l’archive zip et exécutez les deux scripts qu’elle contient d’un double clic : « trojan-check » et « trojan-check-2 ».
Si vous obtenez un avertissement autre que « n’existe pas », c’est que votre ordinateur a été touché par Flashback.
Pour supprimer le virus Flashback du MAc infecté, des instructions sont données sur le site Web de F-Secure et, en résumé, ce sont les instructions :
1) Ouvrez le terminal et écrivez la commande Defaults read /Applications/Safari.app/Contents/Info LSEnvironment ;
2) Notez le code DYLD_INSERT_LIBRARIES et appuyez sur Entrée ;
3) Si vous êtes infecté, certains fichiers sont trouvés (sinon il sortirait écrit n’existe pas) puis écrivez la commande grep -a -o -o -o’__ldpath__[ -~]*’ %path_obtained_in_step2% et marquez la valeur après « __ldpath__ ».
4) Exécutez les commandes « sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment » et « sudo chmod 644 /Applications/Safari.app/Contents/Info.plist », puis supprimer les fichiers du deuxième et troisième point.
5) Exécutez la commande « defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES » et vérifiez que le trojan a été supprimé en lisant si le message dit « n’existe pas ».
6) Sinon, répétez la commande grep du point 3.
Exécutez ensuite les commandes « defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES launchctl unsetenv DYLD_INSERT_LIBRARIES » et « launchctl unsetenv DYLD_INSERT_LIBRARIES » et supprimez les fichiers indiqués.