Accueil GénéralitésInformation Alerte sécurité : OSX/OpinionSpy, un malware sur Mac – 1er juin 2010

Alerte sécurité : OSX/OpinionSpy, un malware sur Mac – 1er juin 2010

Par deherve

Diverses applications Mac distribue?es gratuitement installent le spyware OSX/OpinionSpy

Logiciel malveillant : OSX/OpinionSpy
Risque : e?leve?

Description : Intego a de?couvert un spyware installe? par de nombreuses applications et e?crans de veille Mac distribue?s gratuitement et propose?s par un grand nombre de sites Web. Ce logiciel espion, appele? OSX/OpinionSpy, re?alise diverses actions malveillantes, allant de l’analyse de fichiers a? l’enregistrement de l’activite? de l’utilisateur, en passant par l’envoi d’informations sur cette activite? a? des serveurs distants et l’ouverture d’une porte de?robe?e sur les Mac infecte?s.
De nombreuses applications et e?crans de veille distribue?s sur des sites tels que MacUpdate, VersionTracker et Softpedia installent OSX/OpinionSpy. Le spyware lui-me?me ne se trouve pas dans ces applications, mais il est te?le?charge? pendant le processus d’installation. Cela met en e?vidence la ne?cessite? de disposer d’un programme anti-malware a? jour dote? d’un scanner en temps re?el permettant de de?tecter ce logiciel malveillant lorsqu’il est te?le?charge? par le programme d’installation de l’application d’origine.

Les informations fournies avec certaines de ces applications contiennent un texte mensonger, que les utilisateurs doivent accepter, selon lequel un programme « d’e?tude de marche?» est installe? avec l’application. Certains de ces programmes sont e?galement distribue?s directement a? partir des sites Web des de?veloppeurs sans que cet avertissement n’apparaisse.
Ce logiciel malveillant, dont une version existe pour Windows depuis 2008, pre?tend re?colter des informations sur la navigation et les achats des utilisateurs habituellement utilise?es dans des e?tudes de marche?. Ne?anmoins, ce programme va beaucoup plus loin, car il re?alise de nombreuses actions insidieuses qui ont conduit Intego a? le classer comme logiciel espion.

OSX/OpinionSpy re?alise les actions suivantes :
•    Cette application, de?pourvue d’interface, est exe?cute?e en tant que « root » (elle demande un mot de passe administrateur lors de l’installation) et dispose de tous les privile?ges pour acce?der a? n’importe quel fichier sur l’ordinateur de l’utilisateur infecte? et le modifier.
•    Si, pour quelle que raison que ce soit, l’application cesse de s’exe?cuter, elle est relance?e via launchd, la fonction de lancement de services a? l’e?chelle du syste?me.
•    Elle ouvre une porte de?robe?e HTTP a? l’aide du port 8254.
•    Elle analyse les fichiers de tous les volumes accessibles, ce qui consomme une grande quantite? de ressources du processeur. On ne sait pas clairement quelles donne?es elle copie et envoie a? ses serveurs, mais elle analyse les fichiers des volumes locaux et re?seau, et ouvre potentiellement un grand nombre de fichiers confidentiels du re?seau a? des intrus e?ventuels.
•    Elle analyse les paquets entrant et sortant du Mac infecte? via un re?seau local, c’est- a?-dire les donne?es rec?ues ou envoye?es a? d’autres ordinateurs. Un Mac infecte? peut, par conse?quent, collecter un grand volume de donne?es provenant de diffe?rents ordinateurs d’un re?seau local, comme une entreprise ou un e?tablissement scolaire.
•    Elle injecte du code, sans intervention de l’utilisateur, dans Safari, Firefox et iChat, et copie des donne?es personnelles depuis ces applications. L’injection de code constitue un comportement semblable a? celui des virus ; ce malware « infecte » des applications lorsqu’elles sont en cours d’exe?cution afin de pouvoir re?aliser ses ope?rations malveillantes. (Elle infecte le code des applications dans la me?moire du Mac, mais n’infecte pas les fichiers des applications eux-me?mes qui se trouvent sur le disque dur de l’utilisateur.)
•    Elle envoie re?gulie?rement des donne?es, crypte?es, a? une se?rie de serveurs via les ports 80 et 443. Elle envoie des donne?es a? ces serveurs concernant des fichiers qu’elle a analyse?s localement, ainsi que des adresses e-mail, des en-te?tes de messages iChat, des URL et d’autres donne?es. Ces donne?es peuvent inclure des donne?es personnelles comme des noms d’utilisateur, des mots de passe, des nume?ros de carte de cre?dit, des signets de navigateur Web, des historiques et bien plus encore.
•    Compte tenu des donne?es qu’elle rassemble, la socie?te? qui se trouve derrie?re ce spyware peut stocker des enregistrements de?taille?s concernant les utilisateurs, leurs habitudes, leurs contacts, le lieu ou? ils se trouvent, etc.
•    L’application peut facilement e?tre mise a? niveau, avec l’ajout de nouvelles fonctions, sans aucune intervention et a? l’insu de l’utilisateur. Elle demande parfois des informations a? l’utilisateur, comme son nom, via l’affichage de boi?tes de dialogue ou l’invite a? re?pondre a? des enque?tes.
•    Il arrive dans certains cas que les ordinateurs ou? ce logiciel espion est installe? ne fonctionnent plus correctement apre?s un certain temps. Il est ne?cessaire de forcer le rede?marrage de ces Mac.
•    Si l’utilisateur supprime l’application d’origine ou l’e?cran de veille qui a installe? le spyware, le logiciel espion restera installe? et continuera de fonctionner.
Comme nous l’avons vu, cette application qui pre?tend collecter des informations pour des raisons d’e?tude de marche?, effectue en re?alite? beaucoup d’autres ope?rations, et va jusqu’a? analyser tous les fichiers se trouvant sur un Mac infecte?. Les utilisateurs n’ont aucun moyen de savoir exactement quelles donne?es sont re?cupe?re?es et envoye?es a? des serveurs distants, mais ces donne?es peuvent inclure des noms d’utilisateur, des mots de passe, des nume?ros de cartes de cre?dit, etc. Le risque que ces donne?es soient collecte?es et utilise?es sans l’autorisation des utilisateurs rend ce spyware particulie?rement dangereux pour ce qui est de la vie prive?e des utilisateurs.
Le fait que cette application collecte des donne?es de cette manie?re et qu’elle ouvre une porte de?robe?e constitue une menace tre?s se?rieuse contre la se?curite?. En outre, le risque qu’elle re?colte des donne?es sensibles comme des noms d’utilisateur, des mots de passe et des nume?ros de carte de cre?dit, font de cette application un spyware pre?sentant un risque tre?s e?leve?. Bien que sa distribution soit limite?e, nous encourageons les utilisateurs Mac a? redoubler d’attention lorsqu’ils choisissent de te?le?charger et d’installer un logiciel.

Moyens de protection : Intego VirusBarrier X5 et X6 de?tectent et e?liminent ce logiciel malveillant, qu’ils identifient sous le nom de OSX/OpinionSpy, gra?ce a? leurs filtres contre les menaces datant du 31 mai 2010 ou ulte?rieurs.

Vous aimerez aussi

3 commentaires

Gouaig 6 juin 2010 - 16 h 38 min

Petit conseil pour desinstaller ce malware :
aller dans le dossier Application, puis dans PremierOpinion et de lancer le désinstalleur ou de mettre le dossier complet dans la corbeille.

Répondre

Laisser un commentaire