Un cheval de Troie désactive les systèmes de protection de Mac OS X
On pensait que le système de protection intégré par Apple sous Mac OS X pour contrer la venue de plus en plus fréquente de chevaux de Troie sur notre plateforme permettrait d'en contenir les assauts, ce sera plus compliqué que prévu.
F-Secure a en effet découvert une nouvelle variante de l'un d'eux, capable de désactiver la protection mise en place par Apple. Trojan-Downloader:OSX/Flashback.C est en effet capable non seulement d'aller étudier la Plist contenant les signatures virales, mais aussi de forcer le daemon, l'applicatif gérant la protection, à quitter, l'empêchant donc de faire de nouvelles mises à jour.
On est donc monté d'un cran dans cette guerre et Apple va de nouveau devoir réagir pour ne pas être pris en défaut. Il existe plusieurs moyens de le faire. Très rapidement, Apple pourrait simplement modifier le nom de son daemon et de ses fichiers plist, de quoi gagner quelques jours. Ensuite, ils devront trouver le moyen de bloquer toute intervention au niveau de ce processus, ce qui sera très compliqué, à moins d'aller le cacher à un niveau tellement bas que toute intervention dessus bloque le fonctionnement de la machine.
On notera quand même que la manière dont procède le cheval de Troie est triviale:
- Il va lire la Plist de XProtectUpdater (le processus de mise à jour des définitions d'Apple)
- Il force ce process à quitter
- Il vide la fichier binaire en le remplaçant par un espace
- il écrase la Plist
Ces 4 étapes compliquent notablement toute possibilité de le relancer autrement qu'en le réinstallant, ce qui n'est actuellement pas prévu à moins de réinstaller Mac OS X.