GetShell : un nouveau cheval de Troie multi-plateforme découvert par F-Secure

GetShell : un nouveau cheval de Troie multi-plateforme découvert par F-Secure

La société F-Secure, éditeur de logiciels de sécurité, a annoncé le 10/07/2012 la découverte d'un nouveau cheval de Troie “multi-plateforme”, c'est à dire pouvant toucher aussi bien les utilisateurs Windows, Mac ou Linux.

Les utilisateurs Mac ne sont a priori concernés que s'ils ont une machine à processeur PowerPC ou s'ils ont installé Rosetta sur leur Mac à processeur Intel, tournant sous Mac OS X 10.5 ou 10.6 (Rosetta ne peut pas être installé sous 10.7).

Mise-à-jour du  13/07/2012 : nous avons été bien inspirés de dire “a priori” dans la phrase ci-dessus : une nouvelle variante de GetShell fonctionnant sur les Mac à processeur Intel  vient d'être annoncée par Intego. Rien de très surprenant : il est courant que de nouvelles variantes d'un malware apparaissent à quelques jours ou semaines d'intervalle. Si vous voulez être tenus informés par mail, la “boîte rouge” en haut de page est faite pour cela.

Disons tout de suite que le risque est jugé faible, mais rappelons comme toujours que “faible” ne veut pas dire “nul”. Ce malware n'a pour l'instant été localisé que sur un serveur, mais il y a peu de chances qu'un seul serveur soit infecté sur toute la planète. Précisions que le site en question n'est ni un site pornographique, ni un site de jeux, mais un site de transports colombien.

Comment contracte-t-on ce malware ?

GetShell (nommé OSX/SET.gen par Intego) tire profit, comme Flashback, d'une vulnérabilité de Java. Si votre version de Java est à jour ou si vous l'avez désactivé, comme nous le conseillons, vous n'avez rien à craindre, du moins de la version actuelle de ce malware.

GetShell peut être contracté en visitant un site infecté : un fichier archive Java (JAR) vous demande l'autorisation de s'exécuter et détermine ainsi si vous êtes sous Mac, Windows ou Linux. Si vous donnez suite à cette demande, le malware correspondant à votre système d'exploitation sera téléchargé et ouvrira une porte dérobée (backdoor) permettant aux malfaiteurs d'avoir accès à votre système.

Comment se protéger ?

Simplement :

  • En ayant un système à jour…
  • En désactivant Java.
  • En ne répondant pas positivement à des questions que l'on ne comprend pas.
  • En utilisant un antivirus. Après avoir été plutôt réservés sur la question jusqu'à l'an dernier, nous sommes obligés de prendre acte de l'augmentation sensible des risques et de vous recommander l'utilisation d'un antivirus. Vous trouverez nos suggestions d'antivirus (gratuits ou payants) dans cette rubrique.