Une variante de Crossrider plus pernicieuse

Une variante de Crossrider plus pernicieuse

25 avril 2018

Nous avons vu, dans l'article Comment supprimer les adware sur Mac que de nombreux adware installent des extensions dans votre navigateur et souvent aussi des lanceurs dans les dossiers “LaunchAgents” et “LaunchDaemons” du système ou de votre compte utilisateur. Le but est évidemment que le programme se lance automatiquement à chaque démarrage de votre Mac. Vous pouvez vous reporter à cet article pour mettre ces dossiers sous surveillance. La procédure est très simple et offre un niveau de sécurité supplémentaire.

On a vu apparaître récemment une version de l'adware Crossrider qui utilise une nouvelle méthode pour rendre sa suppression plus difficile : la création de “Profils”. Nous allons voir comment il s'installe, comment s'en débarrasser et supprimer ces profils.

Comment Crossrider s'installe sur votre Mac

La procédure est malheureusement classique : via un faux installeur de Flash Player (il peut exister d'autres méthodes pas encore avérées). De trop nombreux utilisateurs tombant encore dans ce piège, nous verrons plus bas comment les éviter.

Ce faux installeur a un aspect tout à fait banal mais il installe en fait un programme nommé “Advanced Mac Cleaner” qui, comme son nom l'indique et à l'instar de MacKeeper, est supposé vous aider à nettoyer votre Mac… Inutile (?) de dire que nous vous déconseillons vivement ces logiciels, que nous considérons comme “indésirables”, pour ne pas dire plus. Une fois installé, ce programme va vous annoncer via Siri ou votre navigateur, qu'il a trouvé des problèmes critiques que vous devez corriger. Rien de cela n'est vrai, bien sûr, c'est seulement le début de la procédure tristement connue, qui doit vous amener à un achat.

Ce qui ne vous sautera peut être pas aux yeux immédiatement est que, même après suppression d'Advanced Mac Cleaner et des nombreux composants de Crossrider (voir plus bas), votre page d'accueil Safari (et/ou Chrome) a été changée pour celle d'un domaine lié à Crossrider, “chumsearch [point] com”, et vous ne pouvez pas modifier ce paramètre, l'option étant désactivée (grisée)…

Comment se débarrasser de Crossrider et Advanced Mac Cleaner

Une fois de plus, l'excellent Malwarebytes pour Mac, qui dispose d'une version gratuite, est votre ami. Commencez donc par l'utiliser.

Néanmoins, si un Profil a été créé, vous devrez le supprimer manuellement.

Rendez-vous dans Préférences Système. Si vous n'y voyez pas d'icône Profils, c'est qu'aucun profil n'a été installé et vous avez terminé. Dans le cas contraire, cliquez sur cette icône, puis supprimez le profil indésirable en le sélectionnant puis en cliquant sur le bouton “-” en bas à gauche :

Crédit image : Malwarebytes

Le faux moteur de recherche “chumsearch [point] com” est connu pour être un pourvoyeur de nombreux adware et autres programmes indésirables, dont MacKeeper (via un lien “Clean Your Mac”).

Comment éviter d'installer un malware se faisant passer pour Flash Player

Pour commencer, nous vous conseillons de n'installer Flash Player que si vous en avez vraiment besoin. Compte tenu des risques auxquels il expose, il n'est plus installé par défaut dans les systèmes d'exploitations et navigateurs récents. Même s'il reste encore utilisé, de plus en plus de sites l'ont délaissé au profit de technologies plus sures, type HTML5. Si vous devez l'installer, ne le téléchargez que depuis le site d'Adobe.

Si un message apparaît dans votre navigateur, prétendant que votre version de Flash Player est obsolète et qu'il doit être mis à jour, c'est presque à coup sûr un piège. N'en tenez donc pas compte, ne téléchargez rien, et allez vérifier par vous même que Flash Player est installé et, si c'est le cas, qu'il est à jour :

  • Rendez-vous dans “Préférences Système” via le menu Pomme ou l'icône du Dock. Si Flash Player est installé, son icône est à la dernière ligne.
  • Cliquez sur cette icône et allez dans l'onglet “Mises à jour”. Cliquez sur “Rechercher maintenant” pour vérifier si une nouvelle version est disponible. Notez qu'il est recommandé d'autoriser Adobe à installer les mises à jour. Ne jamais rechercher les mises à jour est risqué, de nouvelles failles étant découvertes et corrigées fréquemment.