iWorm : un nouveau ver ciblant Mac OS X

iWorm : un nouveau ver ciblant Mac OS X

Mardi 2 octobre 2014

Un nouveau ver ciblant spécifiquement Mac OS X vient d’être découvert. Même s’il est toujours difficile d’évaluer l’ampleur exacte de la propagation d’un malware, il aurait infecté à ce jour plus de 18 000 Macs (dont environ 700 en France) !

Ce ver, baptisé Mac.Backdoor.iWorm (ou plus simplement iWorm) a un mode d’action assez sophistiqué, bien que connu, et installe une porte dérobée (“backdoor” en anglais) dans Mac OS X, pour se connecter à un serveur Reddit. Il y recherche les serveurs de commande et de contrôle (C&C) et se connecte à l’un d’entre eux. Une fois cette connexion établie, le Mac infecté devient un des “maillons” d’un botnet (réseau mondial d’ordinateurs infectés). Ce botnet peut répondre à toutes sortes de commandes que lui envoient les malfaiteurs. Les botnets sont typiquement utilisés pour attaquer des serveurs et les mettre hors service en les submergeant; c’est ce qu’on appelle des attaques par déni de service, ou DDoS. Mais ils peuvent également servir à violer des comptes utilisateurs et dérober des mots de passe par attaque “brute force”, entre autres…

Le mode d’installation de ce malware n’est pas encore totalement clair, à l’heure où nous écrivons [Mise à jour du 05/10/2014]. Ce que l’on sait, c’est qu’il installe un fichier exécutable dans un dossier nommé “JavaW” du dossier /Library/Application Support. Cela ne signifie pas que Java soit impliqué en quoi que ce soit : il s’agit probablement d’un “camouflage”. Il crée également un fichier /Library/LaunchDaemons/com.JavaW.plist, qui lance l’exécutable au démarrage de Mac OS X et permet son exécution en arrière-plan.

Votre Mac a-t-il été infecté ?

Pour le savoir, il suffit de rechercher le dossier et le fichier mentionnés plus haut.
Depuis le Finder, allez dans le menu AllerAller au dossier et copiez la ligne suivante :

/Library/Application Support/

library-application-support
Validez ou cliquez sur le bouton “Aller”. Si vous ne trouvez pas de dossier “JavaW” dans la fenêtre qui s’ouvre, vous devriez être tranquille.  Nous disons “devriez” car il est toujours possible qu’une variante existe ou suive… Ce qui est sûr, c’est que si ce dossier “JavaW” est présent, votre système est infecté.

Que faire si vous êtes infecté par iWorm ?

Au minimum :

  • Supprimer le dossier /Library/Application Support/JavaW
  • Supprimer le fichier com.JavaW.plist dans /Library/LaunchDaemons/

Ce malware ayant été découvert très récemment, il est possible (quoique peu probable) qu’il installe d’autres fichiers. Si vous disposez d’un clone récent de votre système, ce que nous recommandons toujours vivement, il peut être prudent de le restaurer.

A ce jour, aucune mise-à-jour d’XProtect n’a été effectuée par Apple. Soyez donc vigilants !

Le logiciel Mac Internet Security d’Intego, en revanche, détecte et supprime ce malware.

Mise à jour du 05/10/2014

  • Une des méthodes d’infection utilisée par iWorm a été identifiée : il a été trouvé dans des logiciels commerciaux piratés (Photoshop notamment), diffusés sur PirateBay. L’utilisation de logiciels piratés n’est pas seulement illégale, elle peut être très dangereuse.Notez bien que c’est le seul mode de diffusion connu à ce jour, mais il est tout à fait possible qu’il y en ait d’autres.
  • la base de définitions de malware d’XProtect vient d’être mise à jour par Apple. Nous vous conseillons de ne pas attendre qu’une mise à jour automatique se lance : menu Pomme → Mise à jour de logiciels…