News > Communiqués de presse

Paris, le 21 février 2006

ALERTE SÉCURITÉ INTEGO

LA MENACE RÉELLE POSÉE PAR LE CHEVAL DE TROIE OOMPA-LOOMPA

Questions et réponses pour la protection des utilisateurs Mac contre Oompa-Loompa
(également appelé Osx/Oomp-A ou Leap.A)

 

Depuis la découverte du cheval de Troie Oompa-Loompa (également appelé OSX/Oomp-A ou Leap.A), Intego a analysé l’original et deux variantes découvertes en liberté, afin de déterminer le niveau de danger pour les utilisateurs Mac. Ce document présente le mode de fonctionnement et de propagation de ce cheval de Troie et la protection possible. Actuellement, la meilleure protection contre ce cheval de Troie et ses variantes réside dans Intego VirusBarrier X4, qui assure une protection efficace contre tous les virus connus. « Il est clair qu’un logiciel antivirus sur un ordinateur Macintosh est aussi essentiel que le port de la ceinture de sécurité en voiture, » déclare Laurent Marteau, PDG d’Intego. « Vous n’appréciez sa valeur qu’en cas de besoin. »

Intego a été le premier à découvrir ce cheval de Troie en début de semaine dernière, et les définitions de virus ont été mises à jour le 14 février 2006, pour fournir la protection nécessaire aux utilisateurs de VirusBarrier X et VirusBarrier X4. Bien que la société ait réagi dès que le cheval de Troie a été découvert en liberté, elle a choisi de ne pas médiatiser la menace immédiatement, considérant que cela aurait pu inciter des hackers à créer des variantes au mode d’action différent. Effectivement, une fois la nouvelle de ce cheval de Troie rendue publique, deux autres variantes ont été découvertes en liberté. Ce cheval de Troie endommage actuellement les applications et se transfère entre utilisateurs via iChat sur un réseau local Bonjour, mais des variantes futures pourraient avoir des effets plus néfastes.

Le Centre de recherche de virus d’Intego a examiné le cheval de Troie original et ses variantes ; les réponses aux questions suivantes expliquent son mode de fonctionnement, la façon dont il infecte les ordinateurs Macintosh, le mode de propagation, et le mode de protection possible pour les utilisateurs Mac.

* * *

Qu’est-ce que le cheval de Troie Oompa-Loompa ?
Le cheval de Troie Oompa-Loompa (également appelé OSX/Oomp-A ou Leap.A), affecte les ordinateurs Macintosh sous Mac OS X. Ce cheval de Troie infecte des applications sur les ordinateurs où il est lancé, ce qui permet ensuite à ces applications de répandre le virus, et il peut se propager en s’envoyant vers les contacts iChat des utilisateurs sur un réseau local Bonjour.

Comment les utilisateurs Mac peuvent-ils se protéger contre ce cheval de Troie ?
Intego VirusBarrier X et VirusBarrier X4 éradiquent le cheval de Troie Oompa-Loompa, grâce aux définitions de virus datées du 14 février 2006 et ultérieures, et Intego reste vigilant pour assurer que VirusBarrier X et VirusBarrier X4 vont éradiquer tout cheval de Troie qui essaierait d’exploiter la même technique.

Existe-t-il plusieurs versions de ce cheval de Troie ?
Le Centre de recherche de virus d’Intego a isolé trois versions de ce cheval de Troie jusqu’à présent, et nous surveillons toute activité suspecte pour nous assurer qu’il n’y en ait pas d’autres.

À quoi ressemble ce cheval de Troie ?
Ce cheval de Troie est initialement contenu dans un fichier compressé appelé latestpics.tgz ou latestpics.gz et, après décompression, il ressemble à un fichier graphique. Cependant, si des hackers modifient la version actuelle de ce cheval de Troie, le fichier peut changer de nom ou ressembler à un autre type de fichier.


Comment ce cheval de Troie devient-il actif ?
L’utilisateur peut télécharger le fichier à partir d’un site web, le recevoir comme pièce jointe à un courrier électronique, ou le recevoir via iChat de la part d’un contact sur un réseau local Bonjour. Dans le dernier cas, les utilisateurs sont prêts à faire confiance à la source, bien que « l’expéditeur » ne soit pas conscient de l’envoi du fichier. L’utilisateur doit double-cliquer sur le fichier pour le décompresser, puis double-cliquer sur le cheval de Troie résultant, qui est déguisé sous une icône personnalisée et ressemble à un fichier graphique.

Ce cheval de Troie indique-t-il sa présence en demandant un mot de passe administrateur ?
Non. Ce cheval de Troie exécute un script dans une fenêtre du Terminal, mais il ne manifeste aucune autre action. Il n’a pas besoin de mot de passe administrateur, puisqu’il infecte le dossier Départ de l’utilisateur en cours, ou, si l’utilisateur est connecté en tant que root, un dossier du système. Dans le premier cas, il n’y a pas besoin de mot de passe pour ajouter des fichiers au dossier Départ de l’utilisateur. Dans le second cas, relativement rare, un utilisateur connecté en tant que root n’a pas besoin de saisir un mot de passe pour installer des fichiers dans des dossiers du système.

Comment ce cheval de Troie infecte-t-il un système Mac OS X ?
Quand l’utilisateur, s’attendant à voir une image, double-clique sur le fichier décompressé, le code exécutable présent dans le fichier est lancé : une fenêtre du Terminal apparaît, présentant un processus qui s’exécute puis quitte. Ce processus installe le cheval de Troie Oompa-Loompa dans deux emplacements sur le Mac. Le cheval de Troie se copie vers le dossier /tmp (servant à stocker des fichiers temporaires) et installe un fichier appelé apphook.bundle dans le dossier InputManagers (dans le dossier Bibliothèque de l’utilisateur), ce qui assure qu’il est reproduit dans d’autres applications Cocoa lancées par l’utilisateur. (Si l’utilisateur est connecté en tant que root, le cheval de Troie s’installe dans le dossier /Bibliothèque/InputManagers au niveau du système.)

À l’aide de Spotlight, le cheval de Troie cherche quatre applications utilisées récemment, puis les infecte avec son propre code. L’Input Manager apphook.bundle tente d’envoyer une copie du fichier original, latestpics.tgz, à chaque personne présente sur la liste des contacts d’iChat, sous réserve que ces personnes soient connectées à un réseau local Bonjour. Comme ces utilisateurs voient que le fichier vient de la part d’amis ou de collègues, ils considèrent qu’il est sûr, double-cliquent une première fois pour le décompresser, et une deuxième fois pour tenter de le « voir ». De plus, quand les utilisateurs lancent des applications infectées, le code Oompa-Loompa cherche à infecter de nouvelles applications.

S’agit-il d’un cheval de Troie, d’un virus ou d’un ver ?
Il s’agit d’une combinaison de ces trois types de logiciels malveillants :
1. C’est d’abord un cheval de Troie : un exécutable caché dans un fichier déguisé en fichier graphique, ce qui trompe les utilisateurs et les incite à l’ouvrir. C’est le premier contact avec ce logiciel malveillant.
2. Puis c’est un virus, vu qu’il se reproduit dans d’autres applications sur l’ordinateur, en les endommageant et en leur ajoutant son code.
3. Enfin, c’est un ver, quand il envoie une copie de lui-même vers d’autres ordinateurs via iChat. À ce niveau, les utilisateurs recevant le fichier ont maintenant un cheval de Troie.

Il a été suggéré que les utilisateurs qui prennent des risques en téléchargeant des fichiers venant de sources qui ne sont pas dignes de confiance devraient agir de façon plus responsable. Est-ce ainsi que le cheval de Troie Oompa-Loompa se propage ?
Pour assurer que les utilisateurs aient accès à la quantité formidable d’informations disponibles sur Internet, il est essentiel qu’ils se protègent grâce à des logiciels de sécurité efficaces. Suggérer que les utilisateurs ne devraient rien télécharger tendrait à faire disparaître la valeur d’Internet, qui offre une multitude de programmes et d’informations. Dans notre cas, si ce cheval de Troie se propage via iChat sur un réseau Bonjour, les utilisateurs vont faire confiance à l’expéditeur, vu qu’ils sont probablement habitués à recevoir des fichiers de sa part. De nombreuses entreprises utilisent la messagerie instantanée, et l’échange de fichiers entre collègues est fréquent.

Dans quelles circonstances avez-vous, chez Intego, entendu parler de ce cheval de Troie ?
Intego a reçu une copie de ce cheval de Troie le 14 février 2006, après qu’un utilisateur Intego l’ait découvert sur un forum Macintosh. Cet utilisateur s’attendait à ce que le fichier contienne des images d’un nouveau système d’exploitation avant diffusion mais, au lieu d’afficher des images, le fichier a infecté son système. L’utilisateur l’a découvert plus tard, quand ses contacts sur iChat en réseau local lui ont demandé pourquoi il leur envoyait des fichiers ; il a également constaté qu’il ne pouvait plus lancer certaines applications.

Avez-vous informé Apple de ce cheval de Troie ?
Oui, nous avons informé Apple dès que nous avons examiné ce cheval de Troie et découvert ses dangers. Nous avons été la première société de sécurité fournissant des échantillons de ce cheval de Troie à Apple, et nous avons été en contact rapproché avec Apple pour assurer que ce cheval de Troie soit contrôlé aussi rapidement que possible.

Pouvez-vous, chez Intego, fournir des échantillons de ce cheval de Troie aux utilisateurs curieux de découvrir son mode de fonctionnement ?
Non. Le rôle d’Intego est de protéger ses utilisateurs, et non pas de propager des logiciels malveillants. Bien sûr, nous envoyons ces fichiers à des sociétés de sécurité, ainsi qu’à Apple, mais il n’est pas question d’autres envois.

Ce cheval de Troie efface-t-il des fichiers ?
Non, pour le moment il infecte seulement des applications puis il s’envoie vers d’autres utilisateurs via iChat sur les réseaux Bonjour. Cependant, il se peut que des hackers modifient ce cheval de Troie pour qu’il efface des fichiers.

Ce cheval de Troie affecte-t-il des fichiers système sous Mac OS X ?
Non, il affecte seulement des applications, au moins dans sa version actuelle.

Ce cheval de Troie affecte-t-il Mac OS 9 ou des versions antérieures de Mac OS X ?
Non, il affecte seulement Mac OS X 10.4 (Tiger).

Ce cheval de Troie affecte-t-il les nouveaux ordinateurs Macintosh équipés de processeurs Intel ?
Sur les Macs équipés de processeurs Intel, le cheval de Troie s’exécute en émulation Rosetta, infecte les applications, mais ne peut pas se propager via iChat.

Consultez le communiqué de presse à propos du cheval de Troie Oompa-Loompa :
http://www.intego.com/fr/news/pr76.asp

À propos d'Intego
Intego développe et vend des logiciels de sécurité Internet et de protection de la vie privée pour ordinateurs Macintosh.

Intego fournit la gamme la plus étendue de logiciels destinés à protéger les utilisateurs et leur Mac contre les dangers provenant d'Internet. Les logiciels et le support multilingues d'Intego, maintes fois primés par les magazines spécialisés Mac, protègent plus d'un million d'utilisateurs dans plus de 60 pays. Intego dispose de bureaux aux États-Unis, en France et au Japon. Pour plus d'informations, visitez le site www.intego.com.

À mesure que les dangers de l'Internet augmentent, Intego déploie toute son énergie pour développer de nouveaux logiciels destinés à protéger les utilisateurs et leur Mac contre les menaces les plus récentes pour la sécurité et la vie privée.

We protect your world.™ (Nous protégeons votre monde.)

# # # #


accueil | contacts