FlashBack : Le malware du Mac

 

Les virus sur Mac ont encore frappé, mais rassurez-vous, si vous avez suivi mes consignes la dernière fois, vous ne devriez pas avoir de soucis.

Comme toujours, il faut que l’utilisateur soit dupé par le virus pour qu’il lui donne l’autorisation Root sur sa machine pour ainsi s’installer tranquillement.

C’est-à-dire que le logiciel va vous faire croire qu’une mise à jour de java doit être opérée sur votre système et va vous demander le mot de passe de session (accès root) et si vous lui donnez… c’est le drame.

Mais pas de panique, je vais vous aider à savoir si vous êtes infectés et comment éradiquer le vilain si c’est le cas 😉

Sachez également que le malware utilisait une faille présente dans JAVA qu’Apple à mis à jour récemment pour la combler.

Bon, première étape, nous allons faire une petite vérification de nos fichiers grâce au Terminal en rentrant les commandes suivantes (copier/coller):

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

defaults read /Applications/Firefox.app/Contents/Info LSEnvironment

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

Si un message apparait et vous marque sous chaque commande:

The domain/default pair of (…) does not exist

Alors c’est tout bon, vous n’êtes pas infecté 🙂

Par contre à l’inverse, on va devoir se mettre au travail.

Deuxième étape, l’éradication.

Il va vous falloir suivre les indications suivantes:

  • 1. Exécutez la commande suivante dans le Terminal:
    defaults read /Applications/Safari.app/Contents/Info LSEnvironment
  • 2. Prendre note de la valeur de « DYLD_INSERT_LIBRARIES »
  • 3. Passez à l’étape 8 si vous obtenez le message d’erreur suivant:
    « The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist »
  • 4. Sinon, exécutez la commande suivante dans le Terminal:
    grep -a -o ‘__ldpath__[ -~]*’ %Valeur_Obtenue_dans_l’étape_2%
  • 5. Prendre note de la valeur après « __ldpath__ »
  • 6. Exécutez les commandes suivantes dans le terminal (vérifiez d’abord qu’il n’y a qu’une seule entrée à l’étape 2):
    sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironmentsudo chmod 644 /Applications/Safari.app/Contents/Info.plist
  • 7. Supprimer les fichiers obtenus à l’étape 2 et 5
  • 8. Exécutez la commande suivante dans le Terminal:
    defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES
  • 9. Prendre note du résultat. Votre système est déjà propre si vous obtenez un message d’erreur similaire à ça:
    « The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist »
  • 10. Sinon, exécutez la commande suivante dans le Terminal:
    grep -a -o ‘__ldpath__[ -~]*’ %Valeur_Obtenue_à_l’étape_9%
  • 11. Prendre note de la valeur après « __ldpath__ »
  • 12. Exécutez la commande suivante dans le Terminal:
    defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIESlaunchctl unsetenv DYLD_INSERT_LIBRARIES
  • 13. Enfin, supprimez les fichiers obtenus dans les étapes 9 et 11.

Et vous voilà avec une machine désinfectée 🙂

Alors encore une fois, faites attention à ce que vous installez et ne faites pas confiance aux messages inopinés 😉

2 réflexions au sujet de “FlashBack : Le malware du Mac”

  1. Bonjour!

    J’ai suivi vos recommandations à la lettre, seulement, les trois recherches donnent du négatif.

    Or, mon navigateur modifie ma page d’accueil, et chaque clic sur une page déclenche l’ouverture d’un onglet de pub.

    Avez-vous une idée? un conseil? Je suis totalement bloquée.

    J’ai mis à jour Java 🙁

    Merci!

  2. @Cha L Installer un bloqueur de pub comme AdBlock sur votre navigateur. Il peu avoir un logiciel que vous avez installé et qui génère des pubs intempestive. Malheureusement il sera difficile pour moi de répondre plus précisément.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.