En fin de semaine dernière, le fournisseur russe de solutions de sécurité Dr Web avertissait de la présence d’un malware ayant infecté plus de 17 000 Mac. Bien que les antivirus aient été mis à jour et qu’une méthode manuelle existe pour s’en débarrasser, Apple a mis à jour ses systèmes d’exploitation pour bloquer la menace.
Souvenez-vous. Au début de l’été 2011, un malware, connu sous le nom de MacDefender, infecte plusieurs centaines de milliers de machines. Ce « succès » était dû en bonne partie à une interface particulièrement léchée et apte à retenir l’attention des utilisateurs : après tout, qui mettrait autant d’efforts dans une interface dans un but malveillant ? Il s’agissait pourtant d’une vaste arnaque prévenant que les machines étaient infectées et qu’il fallait s’abonner pour se débarrasser des menaces. Ces dernières étaient purement fictives, mais l’utilisateur payait, n’obtenait évidemment aucun service en retour et ne revoyait pas son argent.
La portée de cette attaque avait forcé Apple à sortir de sa réserve. Une mise à jour pour Snow Leopard avait mis en place un composant capable de détecter les menaces les plus courantes avant d’en débarrasser automatiquement les machines. On ne pouvait pas comparer cette solution à un antivirus, mais au moins le ménage avait été fait sur les appareils qui ne possédaient pas de telles solutions.
Or ce composant, nommé XProtect, a été mis à jour durant le week-end pour bloquer une autre menace. Découvert par Dr Web, le malware Mac.BackDoor.iWorm a infecté a priori au moins 17 000 machines et a la capacité, une fois mis en place, de créer un botnet, c’est-à-dire un réseau de machines zombies. Il se servait de listes de serveurs Minecraft publiées sur Reddit pour distribuer les adresses IP des serveurs de contrôle.
La mise à jour est automatique et permettra de court-circuiter la faculté du malware à rechercher d’autres listes de serveurs de contrôle. Notez dans tous les cas qu’une méthode manuelle existe pour s’en débarrasser.
Source: NextINpact
