Le 10 février 2012

Doctor Web annonce l’existence de vulnérabilités dans Mac OS X, utilisées par les trojans. Il est vrai que Mac OS est considéré comme un des systèmes les plus fiables, mais les pirates ont réussi à profiter de vulnérabilités Java pour propager des menaces.

Les premiers pirates qui ont exploité les vulnérabilités Java pour infecter Mac OS X étaient les créateurs du trojan BackDoor.Flashback, qui se propage via des sites infectés. Le fichier d’installation de ce programme se cache sous le nom du fichier d’installation d’Adobe Flash Player. Il est proposé à l’utilisateur de télécharger et d’installer une archive contenant le fichier FlashPlayer-11-macos.pkg (l’installation ne se lance pas pour d'autres OS). Suite à son lancement, le fichier cherche à installer le module principal du trojan, s’il n’y parvient pas, le trojan arrête son fonctionnement.

(l’installation ne se lance pas pour d'autres OS). Suite à son lancement, le fichier cherche à installer le module principal du trojan, s’il n’y parvient pas, le trojan arrête son fonctionnement

Le module portant le nom rhlib.jar utilise la vulnérabilité CVE-2011-3544. Il place le fichier exécutable .sysenterxx dans le dossier /tmp/, installe les paramètres nécessaires du fichier et le lance.

L’application lancée vérifie si les fichiers :

/Library/LittleSnitch
/Developer/Applications/Xcode.app/Contents/MacOS/Xcode

Ces vulnérabilités représentent une menace pour les utilisateurs Apple. La signature de cette menace a déjà été ajoutée aux bases virales de l’Antivirus Dr.Web pour Mac OS X.