Un malware nommé OSX/FkCodec-A a été ajouté à la base de définitions de Sophos le 23 avril 2012. Ce malware peut être défini comme un cheval de Troie, puisqu’il se fait passer pour un codec video, nécessaire au visionnage de certaines séquences sur des pages web.
Ce soi-disant codec est nommé « Codec-M »
ou « Codec-V » selon les cas ou simplement les messages apparaissant à l’écran, lorsque vous cliquez sur le bouton « Play » de la vidéo.
Si vous cliquez sur « Download Now! », vous êtes redirigé vers une page de téléchargement, pour y télécharger un fichier sobrement nommé… « download.dmg » (mais son nom a pu être modifié depuis).
Vous noterez que la configuration requise est
Windows XP, Vista ou 7, même si vous téléchargez depuis un Mac, mais c’est bien un fichier .dmg qui est téléchargé. Ce genre d’erreur est aussi courant avec ce genre de malware que les fautes de grammaire et d’orthographe…
L’image disque téléchargée contient deux fichiers nommés « Codec-M Installer » et « Codec-M Uninstaller ».
Le premier écran de l’installeur contient deux options, cochées par défaut, vous permettant de :
- Faire de « Codec-m » votre page d’accueil par défaut (!) dans Chrome, Firefox (très professionnellement écrit « FF »…).
- Faire de « Codec-m » votre moteur de recherche par défaut ! Google a du souci à se faire…
Même si tout cela semble grossier, si l’on ne parle pas anglais et/ou que l’on va trop vite et que l’on clique sur « Next », l’installeur modifie comme prévu votre page d’accueil et votre moteur de recherche par défaut. Bien sûr, les résultats de vos recherches éventuelles dans ce « moteur » vous envoie vers des sites plutôt douteux…
Vous obtenez en prime :
- Une extension dans votre navigateur, destinée à des fins publicitaires.
- Une application Codec-M.app, installée dans votre dossier /Applications, qui propose un service de traduction agrémenté de publicité. Pas vraiment ce qui était annoncé…
Est-il nécessaire d’en dire beaucoup plus, si ce n’est de passer votre chemin si vous rencontrez ce « codec » ?
Oui, car c’est le plus « amusant » reste à venir…
Ces informations que personne ne lit…
Les éditeurs de cette petite merveille ont un site, sur lequel vous pourriez télécharger leur « plugin » si le lien fonctionnait.
Mais le plus intéressant est de lire leur « Privacy policy » (politique de confidentialité) : vous y apprendrez, si vous parlez anglais, que vous acceptez que vos informations de navigation soient collectées, revendues, de recevoir de la publicité, avec qui ils coopèrent, etc.
C’est donc un spyware (logiciel espion) qui ne se cache que derrière des informations que personne ou presque ne lit et l’apparence d’un plugin censé améliorer votre « expérience vidéo ».
Si vous avez installé Codec-M…
Curieusement, le désinstalleur fonctionne ! Mais voici les fichiers que vous devez supprimer manuellement, plutôt que de vous fier au désinstalleur :
- /Applications/Codec-M.app
- ~/Bibliothèque/Safari/Extensions/codec-M.safariextz
- ~/Bibliothèque/Application Support/Codec-M
- ~/Bibliothèque/LaunchAgents/com.codecm.uploader.plist
Notez que le signe « ~ » représente votre dossier utilisateur et que votre Bibliothèque personnelle est masquée par défaut dans Mac OS X 10.7 (Lion). Vous pouvez y accéder en cliquant sur le menu Aller du Finder tout en maintenant la touche « Alt » enfoncée.
Pour conclure : ce cheval de Troie ne représente a priori pas une menace importante pour les utilisateurs Mac. Il n’installe pas de porte dérobée, comme le font des malware du type Flashback et rien ne semble conçu pour endommager votre système. Il n’en reste pas moins que c’est un cheval de Troie, puisque le « logiciel » ne fait pas du tout ce qui est écrit sur « l’emballage »… Il n’empêche que l’on s’en passe volontiers…