OS X : iWorm aurait infecté plus de 17 000 machines
Le botnet permettrait aux pirates d'exécuter des commandes à distance
Le 2014-10-03 19:00:41, par Amine Horseman, Expert éminent sénior
Mac OS X: iWorm aurait infecté plus de 17 000 machines
Le botnet ouvre un Backdoor dans le système et permet aux hackers d'exécuter des commandes à distance
Les experts en sécurité de Doctor Web ont publié un rapport annonçant la découverte d'un botnet qui aurait touché plus de 17 000 machines sous Mac OS X, dont 26% se trouvent aux Etats-Unis.
Le botnet baptisé Mac.Backdoor.iWorm aurait été écrit en C++ et Lua et permettrait d'ouvrir un Backdoor dans le système en se faisant passer pour une application com.JavaW. Ce Backdoor est ensuite utilisé par des hackers pour exécuter tout type de commandes sur la machine infectée.
Les experts en sécurité précisent que le programme malveillant fait un usage intensif de chiffrements dans ses routines et qu'il pouvait accéder à des commandes très dangereuses comme, par exemple, modifier/supprimer des paramètres dans le fichier de configuration, envoyer des requêtes GET, télécharger des fichiers, bannir un nœud à partir de son adresse IP, lancer des scripts Lua et exécuter des commandes systèmes. Le botnet pourrait donc être utilisé pour les attaques DDos, le spam ainsi que le vol de données.
Par ailleurs, le virus utilise le service de recherche de Reddit.com pour acquérir les adresses de serveurs de contrôle, dont il se connecte et attend les instructions. Cependant, il est important de noter que Reddit n'en est pour rien, et que les hackers auraient très bien pu utiliser un autre moyen pour communiquer la liste des serveurs au botnet.
"Le programme malveillant vient d'être ajouté à la base de données virale de Dr. Web et ne représentera plus aucun danger pour les utilisateurs qui ont mis à jour leur antivirus", rassure la société russe. Toutefois, il est conseillé de toujours installer les dernières mises à jour de sécurité de son système ainsi que celles des logiciels installés.
Source : Dr. Web
Et vous ?
Quelle solution utilisez-vous pour sécuriser votre machine ?
Le botnet ouvre un Backdoor dans le système et permet aux hackers d'exécuter des commandes à distance
Les experts en sécurité de Doctor Web ont publié un rapport annonçant la découverte d'un botnet qui aurait touché plus de 17 000 machines sous Mac OS X, dont 26% se trouvent aux Etats-Unis.
Le botnet baptisé Mac.Backdoor.iWorm aurait été écrit en C++ et Lua et permettrait d'ouvrir un Backdoor dans le système en se faisant passer pour une application com.JavaW. Ce Backdoor est ensuite utilisé par des hackers pour exécuter tout type de commandes sur la machine infectée.
Les experts en sécurité précisent que le programme malveillant fait un usage intensif de chiffrements dans ses routines et qu'il pouvait accéder à des commandes très dangereuses comme, par exemple, modifier/supprimer des paramètres dans le fichier de configuration, envoyer des requêtes GET, télécharger des fichiers, bannir un nœud à partir de son adresse IP, lancer des scripts Lua et exécuter des commandes systèmes. Le botnet pourrait donc être utilisé pour les attaques DDos, le spam ainsi que le vol de données.
Par ailleurs, le virus utilise le service de recherche de Reddit.com pour acquérir les adresses de serveurs de contrôle, dont il se connecte et attend les instructions. Cependant, il est important de noter que Reddit n'en est pour rien, et que les hackers auraient très bien pu utiliser un autre moyen pour communiquer la liste des serveurs au botnet.
"Le programme malveillant vient d'être ajouté à la base de données virale de Dr. Web et ne représentera plus aucun danger pour les utilisateurs qui ont mis à jour leur antivirus", rassure la société russe. Toutefois, il est conseillé de toujours installer les dernières mises à jour de sécurité de son système ainsi que celles des logiciels installés.
Source : Dr. Web
Et vous ?
-
VoyvodeMembre émériteVous n’y êtes pas du tout les gars.
1. OS X a un pare-feu et un antivirus.
2. Le vecteur d’infection est le torrent (le pare-feu ne sert à rien).
3. Le premier rempart contre les infections, toute plateforme confondue, c’est l’utilisateur.
4. Les antivirus ne servent plus à rien. (C'est Symantec qui l’a dit !) le 05/10/2014 à 15:22 -
Max LothaireMembre confirméle 05/10/2014 à 16:08
-
earhaterMembre éprouvéEt attendre qu'un développeur d'un logiciel propriétaire trouve une faille et attendre encore qu'elle soit corrigé c'est mieux ?le 05/10/2014 à 16:29
-
On devait parler de Mac OSX et surtout iWorm et puis GHetfield est arrivé
... le 05/10/2014 à 22:06 -
AlcoreMembre avertiGTSLash/GHetfield,
Il faudra vraiment que tu aille donner un cours de sécurité IT à la NSA car ils utilisent justement Linux. (ainsi que la NAVY, la NASA...)
Pour l'exploit de ces failles, il n'y a que des supposition. La rapidité de fix lié a sa découverte n'a à ce jour montré aucun cas d'attaque avéré... (oui mais tu ne pense pas que ... On peut être sur de... => Non, preuve stp)
Par contre MS a bien eu une exploitation de faille dans son code et bien avérée celle là -> StuxNet, ou comment l'exploitation massive du faille Windows à permis de mettre par terre des centrifugeuses iraniennes...
Mais comment cela à pu arriver??? sur du code fermé?
Tu aura beau critiquer l'open source, Les experts en sécurité du monde entier s'accorde sur le fait que "la sécurité par l'obscurité" est une mauvaise chose:
In security engineering, security through obscurity is the use of secrecy of design or implementation to provide security. Security through obscurity is discouraged and not recommended by standards bodies
Comme tu ne lis jamais la doc je te la fait en court:In security engineering, security through obscurity is the use of secrecy of design or implementation to provide security. Security through obscurity is discouraged and not recommended by standards bodies.En programmation informatique, l'audit de code est une pratique consistant à parcourir le code source d'un logiciel afin de s'assurer du respect de règles précises.
L'audit n'est donc pas une sorte de technique formelle permettant de s'assurer qu'un code ne contient aucune faille.
Et tu aura beau t'épuiser à déballer ta mauvaise foi dès qu'un article parle de l'open source en bien ou en mal (sujet ou tu est d'ailleurs bien plus présent que sur les forums relatifs au développements .NET), toute personne ayant travaillé dans une grande entreprise a fait le constat, par sa propre expérience, que les solutions open source sont légion.le 05/10/2014 à 18:47 -
Max LothaireMembre confirméJe suis moi même utilisateur de Linux.
La vulnérabilité de ces systèmes vient de la confiance trop aveugle qu'on peut avoir. C'est vrai pour ceux qui achètent un Mac car on leur à vendu comme un OS sans virus (un virus n'étant qu'une catégorie de malware), et qui font n'importe quoi avec.
Pour Bash et OpenSSL, il me semble que les failles ont été vite corrigées. Si des vulnérabilités équivalentes avaient été trouvées sur un OS fermé, il aurait peut-être fallu attendre encore plus longtemps. Mais je ne développerai pas plus ce sujet là.
De toute façon, que l'OS soit Open source ou fermé, si l'administrateur ( ou le propriétaire de la machine) ne fait pas le travail comme il faut, alors le système entier est vulnérable. (Le pare-feu de linux est pour moi un bonne exemple)le 05/10/2014 à 15:23 -
VoyvodeMembre émérite@GHetfield
Tu ne prouves rien du tout, il n’y a pas besoin d’avoir accès au code source pour découvrir une faille. Dès qu’un logiciel a un certain succès, il tombera automatiquement entre les pattes d’une poignée de barbus prêt à le disséquer.
Et ici on parle d’iWorm, qui exploite une faille de l’interface chaise-clavier. On a le code source de celle-là ?le 05/10/2014 à 18:50 -
AlcoreMembre avertiIl n'y a pas d'excuse, l'audit sert a vérifier que les bonnes pratiques de sécurité. Ce n'est pas une méthode sans faille qui permet de trouver toutes les nouvelles techniques de piratage. Si une telle méthode existait, tout le monde l'appliquerait.Il y en a combien d'autre utilisée sans que le grand public le sache ??Sauf que quand c'est proprio c'est plus difficile de les trouver vu le nombre limité de personne ayant accès au code pour l'analyser/l'auditer ou appeler ça comme vous voulez.
Ah, et concernant la rapidité de réaction des soft closed source avant qu'un faille soit exploitée, voici la petite dernière de MS qui date de Septembre:l comprend cinq bulletins couvrant 42 failles. L'un d'eux vient combler 37 vulnérabilités dans Internet Explorer, dont l'une porte sur une faille connue depuis l'année dernière. Elle serait activement exploitée...le 05/10/2014 à 19:23 -
AlcoreMembre averti
Il y a des différences entre être ultra pessimiste et être prévoyant.
J'ai une assurance pour ma voiture pourtant quand je la démarre tout les matins je ne part pas avec l'idée que je vais mourir.le 05/10/2014 à 20:14 -
earhaterMembre éprouvéExcuse moi mais il n'est pas marqué à moins que je n'ai manqué quelque chose que c'est la faille bash et encore moins que ce ne soit pas une faille spécifique à Max OS X. Je ne suis pas sûr que cette faille puisse être portée "tel quel" sur un système Unix (même si c'est les même commandes vu que c'est de l'unix merci de me le réapprendre, ça peut être une vulnérabilité autre)
Merci monsieur le pape je vous croit sur parole ! Merci de prêcher la bonne parole on vous croira uniquement sur vos dires.le 05/10/2014 à 21:35