Une nouvelle variante de Mac Defender, Réactions à la publication du 26/05/2011

[Lionel]

Comme il fallait s'y attendre, une nouvelle variante du cheval de Troie Mac Defender a été découverte. Son fonctionnement est toujours le même, vous faire croire à une infection sur votre Mac et en profiter pour récupérer vos informations de carte bancaire pour vous régler le problème, ce qui n'arrive pas puisqu'il n'y en a pas. Il s'agit donc purement d'une arnaque à la CB et pas d'un virus, le seul exploit étant de lancer automatiquement le téléchargement du logiciel rien qu'en visitant certaines pages web.


Pour en revenir à cette variante, elle se distingue essentiellement par le fait qu'elle ne demande plus de mot de passe utilisateur pour s'installer, même s'il faut encore faire cette installation de manière "volontaire". Les process lancés voient aussi leur nom modifié afin de ne pas être vus au premier abord.


Apple va avoir fort à faire pour bloquer toutes les éventuelles variantes de ce logiciel.
Par Lionel

[ronparchita]

Bonjour,
J'ai tout lu, si
Il y a deux idées qui ont accroché mon attention.

La première c'est qu'il ne s'agit pas d'un virus mais d'un attrape couillons (j'ai entendu cette expression dans un film très ancien, ce qu'elle me suggère est irrésistible). Aucun anti-virus qui se respecte n'est à même, par définition, d’empêcher les gens de donner leur numéro de carte bancaire. Si ce que je dis est vrai, l'anti-virus n'est pas la solution.

Je n'ai pas gardé en mémoire le nom de l'auteur d'une réflexion que je trouve intéressante, je lui présente mes excuses (c'est dans la deuxieme page, il me semble), et relevé que personne n'avait rebondi.
Pourtant...
Le message disait que s'il y a saisie des informations de cartes bancaires il y a forcément adresse IP au bout, et s'interrogeait sur ce que faisait la police. Peut-être que personne ne sait ce que fait la police.

Est-ce qu'on sait ce qu'il faudrait qu'il se passe pour que la police s'en occupe ? Si le nombre de gens lèsés est aussi important que j'ai pu le lire (et du simple au double me fait aussi sourire), on peut imaginer qu'une infime partie soit aller déposer plainte et que, sur le nombre, ce soit assez significatif pour que la police se bouge et cueille les malandrins, non ?

Je m'interroge sur le sens de tout ce bruit autour de virus qui n'en sont pas et qui conduisent des gens à dire que bon, ça ne durera pas, que forcément il y en aura, etc, etc et qu'il faudra bien un jour s'équiper et pourquoi attendre demain. Ils veulent nous en vendre ?

Qui n'a rien à voir : lorsque j'ai cliqué sur répondre, une fenêtre s'est ouverte pour me demander mon mdp de sécurité. J'ai remarqué que quand je le donne, la fenêtre de conection qui s'ouvre se remplit, seule, et que j'ai juste à cliquer pour me connecter. Aujourd'hui j'ai dit non et j'ai dû taper mon nom d'utilisateur, en fait la première lettre, ensuite j'ai confirmé le choix proposé, et j'ai dû peut-être aussi taper mon mdp pour MB qui n'a rien a voir avec le mdp de sécurité de mon ordi. Est-ce que mon ordi est mal configuré pour qu'il me demande de donner mon mot de passe de securité pour accéder au forum de MB, est-ce que ça vient de MB ?

[SartMatt]

La première c'est qu'il ne s'agit pas d'un virus mais d'un attrape couillons (j'ai entendu cette expression dans un film très ancien, ce qu'elle me suggère est irrésistible). Aucun anti-virus qui se respecte n'est à même, par définition, d’empêcher les gens de donner leur numéro de carte bancaire. Si ce que je dis est vrai, l'anti-virus n'est pas la solution.

N'importe quel anti-virus qui se respecte vérifie tous les exécutables lancés, et signal un danger. C'est valable aussi bien pour les virus que pour n'importe quel autre type de malware : le fait que l'anti-virus a gardé ce nom d'anti-virus, de l'époque où le gros des malwares étaient des virus, ne le rend pas pour autant inopérant contre les autres formes de malware.
Alors bien sûr, si l'utilisateur tient absolument à exécuter l'application, aucun logiciel de sécurité ne pourra l'en empêcher. Mais il pourra l'avertir du danger et lui suggérer de supprimer l'application au lieu de la lancer.

Pour te dire jusqu'où ça va, voilà un exemple concret : il y a quelques années, je me suis fait pirater mon site web. Après l'attaque, j'ai récupéré sur le serveurs divers scripts PHP utilisés par l'attaquant, pour les étudier. Il n'y a bien entendu AUCUN risque pour ma machine si j'ouvre ses scripts avec mon éditeur de code, et il ne s'agit assurément pas d'un virus. Mais mon anti-virus me prévient tout de même qu'il s'agit d'un logiciel malveillant.

Le message disait que s'il y a saisie des informations de cartes bancaires il y a forcément adresse IP au bout, et s'interrogeait sur ce que faisait la police. Peut-être que personne ne sait ce que fait la police.

Est-ce qu'on sait ce qu'il faudrait qu'il se passe pour que la police s'en occupe ? Si le nombre de gens lèsés est aussi important que j'ai pu le lire (et du simple au double me fait aussi sourire), on peut imaginer qu'une infime partie soit aller déposer plainte et que, sur le nombre, ce soit assez significatif pour que la police se bouge et cueille les malandrins, non ?

Oui, il faut qu'il y ait une IP au bout. Mais ça n'aide pas forcément beaucoup :
- cette IP peut être une IP de quelqu'un de parfaitement innocent, lui même infecté par un autre malware qui a transformé son ordinateur en serveur de collect,
- si ce n'est pas le cas, cette IP est probablement celle d'un serveur situé dans un pays peu regardant sur ce genre de trafics, serveur qui aura alors probablement été enregistré anonymement où sous une fausse identité (même en France, tu peux louer un serveur sans donner de preuve de ton identité...),
- cette IP peut être dynamique via un service type DynDNS, multipliant ainsi le nombre d'IP à tracer.

Il y a donc malheureusement très peu de chance que ceux à qui profite le crime soient un jour inquiétés. À la limite, si le malware parvenait à toucher des millions de machines, les autorités se bougeraient sans doute vraiment, mais pour quelques dizaines de milliers, dont seule une partie s'est faite avoir en donnant son numéro de carte, y aura pas de suites.

Ce message a été modifié par SartMatt - 28 May 2011, 09:02.