News > Communiqués de presse

Paris, le 16 février 2006

ALERTE SÉCURITÉ INTEGO

QUESTIONS ET RÉPONSES À PROPOS DU CHEVAL DE TROIE OOMPA-LOOMPA
ÉGALEMENT APPELÉ OSX/OOMP-A OU LEAP.A

 

Dans quelles circonstances avez-vous, chez Intego, entendu parler de ce cheval de Troie ?
Intego a reçu une copie de ce cheval de Troie le 14 février 2006, après qu’un utilisateur Intego l’ait découvert sur un forum Macintosh. Cet utilisateur s’attendait à ce que le fichier contienne des images d’un nouveau système d’exploitation avant diffusion mais, au lieu d’afficher des images, le fichier a infecté son système. L’utilisateur l’a découvert plus tard, quand ses contacts sur iChat en réseau local (Bonjour) lui ont demandé pourquoi il leur envoyait des fichiers.

Comment peut-on se protéger contre ce cheval de Troie ?
Intego VirusBarrier X et VirusBarrier X4 éradiquent le cheval de Troie Oompa-Loompa, grâce aux définitions de virus datées du 14 février 2006, et Intego reste vigilant pour assurer que VirusBarrier X et VirusBarrier X4 vont éradiquer tout cheval de Troie à venir qui essaierait d’exploiter la même technique.

Existe-t-il plusieurs versions de ce cheval de Troie ?
Le Centre de recherche de virus d’Intego a isolé trois versions de ce cheval de Troie jusqu’à présent, et nous surveillons toute activité suspecte pour nous assurer qu’il n’y en ait pas d’autres.

À quoi ressemble ce fichier ?
Ce cheval de Troie, initialement contenu dans un fichier compressé appelé latestpics.tgz, ressemble à un fichier graphique après décompression. Cependant, si des hackers modifient la version actuelle de ce cheval de Troie, le fichier peut changer de nom.

Comment ce cheval de Troie devient-il actif ?
L’utilisateur doit télécharger le fichier à partir d’un site web, le recevoir comme pièce jointe à un message électronique, ou le recevoir via iChat. Dans le dernier cas, les utilisateurs font confiance à la source, bien que « l’expéditeur » ne soit pas conscient de l’envoi du fichier. L’utilisateur doit double-cliquer sur le fichier pour le décompresser, puis double-cliquer sur le cheval de Troie résultant, qui est déguisé sous une icône personnalisée et ressemble à un fichier graphique.

Ce cheval de Troie indique-t-il sa présence en demandant un mot de passe administrateur ?
Non. Ce cheval de Troie installe un fichier dans un dossier Bibliothèque/InputManagers, si l’utilisateur n’est pas connecté en tant que root. Si l’utilisateur est root, le cheval de Troie s’installe dans le dossier système du même type, /Bibliothèque/InputManagers.

Comment ce cheval de Troie infecte-t-il un système Mac OS X ?
Quand l’utilisateur, s’attendant à voir une image, double-clique sur le fichier graphique décompressé, le code exécutable présent dans le fichier est lancé. Le cheval de Troie insère ensuite un fichier appelé apphook.bundle dans le dossier InputManagers (dans le dossier Bibliothèque de l’utilisateur), ce qui assure qu’il est reproduit dans d’autres applications Cocoa lancées par l’utilisateur. À l’aide de Spotlight, le cheval de Troie cherche quatre applications utilisées récemment, puis les infecte. L’Input Manager apphook.bundle tente d’envoyer une copie du fichier original, latestpics.tgz, à chaque personne présente sur la liste des contacts Bonjour d’iChat. Comme ces utilisateurs voient que le fichier vient de la part d’amis ou de collègues, ils considèrent qu’il est sûr et n’hésitent pas à double-cliquer une première fois pour le décompresser, et une deuxième fois pour tenter de le « voir ».

S’agit-il d’un cheval de Troie, d’un virus ou d’un ver ?
Il s’agit d’une combinaison de ces trois types de logiciels malveillants. C’est d’abord un cheval de Troie : un exécutable caché dans un fichier déguisé en fichier graphique. Puis c’est un virus, vu qu’il se reproduit dans d’autres applications sur l’ordinateur. Enfin, c’est un ver, quand il s’auto-envoie vers d’autres ordinateurs via iChat.

Avez-vous informé Apple de ce cheval de Troie ?
Oui, nous avons informé Apple dès que nous avons examiné ce cheval de Troie et découvert ses dangers. Nous avons été en contact rapproché avec Apple pour assurer que ce cheval de Troie soit contrôlé aussi rapidement que possible.

Ce cheval de Troie efface-t-il des fichiers ?
Non, pour le moment il infecte seulement des applications puis il s’envoie vers d’autres utilisateurs via iChat sur le réseau Bonjour. Cependant, il se peut que des hackers modifient ce cheval de Troie pour qu’il efface des fichiers.

Ce cheval de Troie affecte-t-il des fichiers système sous Mac OS X ?
Non, il affecte seulement des applications, au moins dans sa version actuelle.

Ce cheval de Troie affecte-t-il Mac OS 9 ou des versions antérieures de Mac OS X ?
Non, il affecte seulement Mac OS X 10.4 (Tiger).

Ce cheval de Troie affecte-t-il les nouveaux ordinateurs Macintosh équipés de processeurs Intel ?
Non, il affecte seulement les Mac utilisant des processeurs PowerPC.

Comment peut-on identifier ce cheval de Troie ?
Ce cheval de Troie circule actuellement sous le nom latestpics.tgz, mais il est tout à fait possible que d’autres versions soient créées sous des noms de fichier différents.

Consultez le communiqué de presse à propos du cheval de Troie Oompa-Loompa : http://www.intego.com/fr/news/pressroom.asp

À propos d'Intego
Intego développe et vend des logiciels de sécurité Internet et de protection de la vie privée pour ordinateurs Macintosh.

Intego fournit la gamme la plus étendue de logiciels destinés à protéger les utilisateurs et leur Mac contre les dangers provenant d'Internet. Les logiciels et le support multilingues d'Intego, maintes fois primés par les magazines spécialisés Mac, protègent plus d'un million d'utilisateurs dans plus de 60 pays. Intego dispose de bureaux aux États-Unis, en France et au Japon. Pour plus d'informations, visitez le site www.intego.com.

We protect your world.™ (Nous protégeons votre monde.)

# # # #


accueil | contacts