CIRCL automatic launch object detection

Lutter contre les virus Apple OS X (oui ils existent !) grâce au monitoring

Alors que l'on la pensait à l'abri des logiciels malveillants, depuis peu la plate-forme Apple Macintosh est aussi régulièrement attaquée par des virus et vers. Ces logiciels dangereux s'implantent dans le Mac lorsque l'utilisateur surfe sur Internet et sans qu'il ne s'en rend compte. Il existe également des cas d'infection avec un virus des programmes d'installation Flash.

Les logiciels malveillants ont une chose en commun. Ils exploitent une fonction propre à OS X afin d'être réactivés sur le système après chaque démarrage. Il s'agit des dossiers LaunchObjects qui servent normalement au soutien du système et des programmes réguliers.

Les scripts dans ces dossiers sont exécutés automatiquement lors du redémarrage ou lorsque l'utilisateur se connecte. Les logiciels malveillants s'y implantent et sont réactivés à chaque redémarrage. Il s'agit notamment des dossiers suivants : 

  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  • /System/Library/LaunchAgents
  • /System/Library/LaunchDaemons
  • ~/Library/LaunchAgents
  • SystemStarter Objekte

Afin de se protéger efficacement contre ces logiciels dangereux, il est recommandé de surveiller ces dossiers spécifiques (monitoring). Ce n'est que lors de l'installation de programmes réguliers qu'un nouveau script puisse être copié dans l'un de ces dossiers. Si, sans aucune raison évidente, de nouveaux scripts sont régulièrement copiés dans ces dossiers, l'utilisateur doit être vigilant.

Dans son article „Monitoring OS X LaunchAgents folders to help prevent malware attacks“ chez CNET [1], Topher Kessler explique comment activer le monitoring de ces dossiers sur OS X. Le procédé est relativement complexe et pas tous les utilisateurs ne connaissent aussi bien leur Mac. C'est pourquoi, CIRCL, le Computer Incident Response Centre Luxembourg, a sorti un programme qui effectue automatiquement tous ces réglages [2].

Il suffit de télécharger et d'exécuter le programme d'installation CIRCL-ALOD-Installer (CIRCL automatic launch object detection).Ce programme active les actions relatives aux dossiers de OS X et surveille les dossiers critiques à l'aide d'un script prévu à cet effet.

Lorsqu'un nouveau fichier est copié dans l'un des dossiers LaunchObjects, l'utilisateur en est averti. Son attention est portée sur les circonstances et il a la possibilité d'examiner de plus près le nouveau fichier.

ans le fichier du script, les lignes sous  „<key>Program</key>“ donnent des informations sur le démarrage automatique des programmes. Les scripts suspects sont à jeter à la corbeille où ils ne causent plus aucun dommage.
Des programmes en cours d'éxécution sont terminés moyennant un redémarage.

[1] http://reviews.cnet.com/8301-13727_7-57415311-263/monitor-os-x-launchagents-folders-to-help-prevent-malware-attacks/

[2] http://www.circl.lu/pub/tr-08/

Disclaimer: Le site BEE SECURE propose dans certains cas des liens vers des contenus externes, sur lesquels SMILE ou le SNJ n’ont aucune influence, et ne peuvent donc en aucun cas être tenus responsables.