Premiers signes d'un réseau de zombies sur Mac OS X

Publié le :

Des chercheurs de Symantec ont trouvé les premiers signes de ce qui pourrait être le premier réseau de zombies sur Mac OS X. Il s'agit d'un cheval de Troie provoquant des attaques distribuées par déni de service, baptisé iServices, et qui semble provenir de copies pirates d'iWorks'09 ou de Photoshop CS4 diffusées sur des réseaux P2P.

Si vous avez eu la très mauvaise idée de télécharger et d'installer des applications piratées depuis ce genre de réseau (ou transmises par un copain d'un copain...), je vous conseille vivement de faire les tests suivants pour vérifier que votre Mac n'est pas infecté (source Pedro Bueno et Michael Bettiol).

Si l'exécution de lignes de commandes dans Terminal (dans les Utilitaires) ne vous fait pas peur, suivez ces instructions (sinon allez à la fin du billet pour une autre solution). Je pense utile de préciser que ce tutoriel n'est accompagné d'aucune garantie d'aucune sorte et que je décline toute responsabilité en cas de problème consécutif à son application.

1. Identifiez si le cheval de Troie utilise le réseau :

sudo lsof -i -P|grep -i tcp|grep -i iworkserv

Si c'est le cas, vous obtiendrez une réponse de ce genre :

iworkserv 5326 pedrobueno 9u IPv4 0x7170270 0t0 TCP *:<port>

2. Repérez la présence de ses fichiers sur le disque dur :

sudo find / -iname "iworkservice*" -print

Cette recherche peut prendre plusieurs minutes. Si le cheval de Troie est présent, vous obtiendrez une réponse qui ressemble à ceci :

.funnystuff/English.lproj/iWorkServices.info
.funnystuff/iworkservices
.funnystuff/iWorkServices.bom
.funnystuff/iWorkServices.pax.gz
.funnystuff/iWorkServices.sizes

3. Vérifiez si le cheval de Troie tourne effectivement sur le Mac :

sudo ps aux |grep -i iworkservice |grep -v "grep"

Si c'est le cas, le résultat ressemblera à ceci :

pedrobueno  5326   0.6  0,4   451036  15660 s002  S+    4:49     0:00.62 ./iworkservices

Où 5326 représente l'ID du processus en question.

Pour supprimer le cheval de Troie, vous pouvez commencer par stopper son exécution (s'il tourne) en tapant la commande suivante :

killall -9 iWorkServices
(Ou encore kill -9 PIDPID est le numéro que vous avez obtenu à la commande précédente)

Ensuite il faut supprimer ses fichiers du disque :

sudo find / -iname "iworkservice*" -exec rm -rf {} \;

Si l'utilisation du Terminal vous fait à peu près aussi peur que l'idée que votre Mac soit infecté par un cheval de Troie, vous pouvez télécharger cet utilitaire gratuit fourni par SecureMac.

Moralité :
  • Sortez couverts, quand on fourre n'importe quoi sans précaution dans son Mac, il ne faut pas s'étonner qu'il attrape des cochonneries.
  • Envisagez l'acquisition d'un antivirus pour le Mac (si vous faites tourner Windows dessus, vous devriez déjà en avoir un pour Windows mais il sera inefficace sur la partie Mac OS X). Je connais quelques éditeurs d'AV pour Mac OS X qui désespéraient et vont accueillir cette "bonne" nouvelle avec joie.

Pour ma part, je pense que le risque reste très faible dès lors que je ne charge pas n'importe quoi sur mes machines, et je vais garder un oeil sur ClamAV plutôt que de foncer sur le premier antivirus commercial venu, leur état sur le Mac étant plutôt blafard.