Elimination du logiciel malveillant OSX/Linker
Écrit par Tomas Meskauskas le
Comment supprimer "OSX/Linker" d'un Mac ?
Qu'est-ce que "OSX/Linker" ?
OSX/Linker est un nom générique pour les logiciels malveillants qui exploitent la vulnérabilité d'un Gatekeeper MacOS zero-day afin d'infecter le système. Les infections de ce type sont conçues pour utiliser des liens symboliques (ou simplement des symlinks) pour contourner la protection MacOS en accédant à un serveur NFS (Network File System) et en injectant des applications malveillantes dans le système, plutôt que de les télécharger directement depuis Internet.
Pour commencer, MacOS utilise une technologie appelée Gatekeeper, qui est conçue pour vérifier chaque application téléchargée et l'analyser à la recherche d'éventuelles infections de logiciels malveillants. Cependant, le problème est que les applications chargées à partir d'un réseau (dans ce cas, le serveur NFS) sont traitées différemment. Pour cette raison, les cybercriminels ont commencé à abuser des liens symboliques pour accéder aux fichiers stockés sur ces réseaux. Symlink est essentiellement un fichier qui contient une référence à un autre fichier/répertoire (appelé cible). En d'autres termes, il s'agit essentiellement d'un raccourci qui contient le chemin vers une certaine cible et permet à son utilisateur d'y accéder indirectement. C'est là que les cybercriminels interviennent. Comme mentionné ci-dessus, MacOS traite différemment les applications chargées à partir d'un réseau. Par conséquent, les cybercriminels utilisent des liens symboliques pour accéder à des fichiers malveillants et les injecter dans le système. Les liens symboliques eux-mêmes ne sont pas considérés comme des logiciels malveillants. Par conséquent, les recherches de logiciels malveillants peuvent être facilement contournées. Les cybercriminels peuvent utiliser cette technique pour propager divers types de logiciels malveillants, y compris des logiciels publicitaires, des pirates de navigateur ou même des infections à risque élevé comme des chevaux de troie, des cryptominers, etc. Il convient maintenant de mentionner qu'Apple est conscient de cette vulnérabilité depuis le début de l'année 2019. Un expert en cybersécurité, Filippo Cavallarin, a informé Apple de cette faille le 22 février 2019 et Apple a répondu que la vulnérabilité sera éliminée dans les 90 jours. Pourtant, ce n'est pas le cas et les escrocs peuvent encore abuser de ce défaut. Si vous suspectez la présence d'un logiciel malveillant, vous devez immédiatement analyser le système à l'aide d'une suite antivirus/anti-spyware réputée (telle que Combo Cleaner) et éliminer toutes les menaces détectées.
| Nom | Logiciel malveillant OSX/Linker |
| Type de Menace | Cheval de troie, Logiciel malveillant Mac, virus Mac |
| Noms de Détection (Play.dmg) | Avast (MacOS:Agent-FJ [Adw]), ESET-NOD32 (OSX/Linker.A), Kaspersky (HEUR:Trojan.OSX.Linker.a), Symantec (OSX.Trojan.Gen.2), Liste complète (VirusTotal) |
| Symptômes | Votre Mac est devenu plus lent que d'habitude, vous voyez des fenêtres publicitaires intempestives, vous êtes redirigé vers des sites Web douteux, vous avez remarqué la présence d'applications douteuses. |
| Méthodes de Distribution | Annonces pop-up trompeuses, installateurs de logiciels gratuits (bundling), faux installateurs de lecteur flash, téléchargements de fichiers torrent. |
| Dommages | Suivi de la navigation sur Internet (problèmes potentiels de confidentialité), affichage d'annonces indésirables, redirections vers des sites Web douteux, perte d'informations privées. |
| Suppression | Pour éliminer d'éventuelles infections par des maliciels, analysez votre Mac avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Les escrocs abusent souvent des vulnérabilités de divers systèmes d'exploitation et logiciels pour infecter les ordinateurs. Cependant, une grande partie de ces bogues/défauts sont considérés comme "zéro-jour", ce qui signifie que les développeurs d'OS/logiciels en sont conscients et que ce n'est qu'une question de temps pour les éliminer. Il convient également de mentionner que l'élimination d'énormes vulnérabilités est une tâche prioritaire, c'est pourquoi les développeurs publient souvent des "correctifs" quelques jours, voire quelques heures après la découverte. Les cybercriminels qui sont capables d'abuser d'énormes bogues/défauts pendant si longtemps sont très rare et cela se produit généralement lorsque le système d'exploitation ou le logiciel n'est plus supporté par le développeur.
Comment les applications potentiellement indésirables se sont-elles installées sur mon ordinateur ?
Les liens symboliques des logiciels malveillants OSX/Linker sont distribués sous différents formats (des exemples actuellement connus utilisent les formats .app,.dmg et .iso). Les cybercriminels diffusent ces images d'applications/disques en les présentant comme des installateurs de logiciels, des mises à jour ou des fichiers légitimes. L'un des échantillons analysés était une application .app qui avait une icône de répertoire MacOS. De cette façon, les utilisateurs ne se doutant de rien se font piéger pour exécuter une application tout en pensant qu'ils vont simplement ouvrir un répertoire téléchargé. Les escrocs utilisaient également les fichiers d'images disque en les présentant comme des mises à jour d'Adobe Flash Player. Ces fausses mises à jour sont souvent promues sur des sites Web frauduleux qui affichent de faux messages pop-ups/erreurs prétendant que le lecteur Flash de l'utilisateur est désuet et encourageant à télécharger une mise à jour. Il est à noter que l'une de ces images disque a été signée à l'aide d'un Apple Developer ID qui appartient à des escrocs qui ont développé le logiciel publicitaire SurfBuyer. Par conséquent, il est très probable que ces personnes abusent de la vulnérabilité d'OSX/Linker pour diffuser les logiciels publicitaires SurfBuyer ou ses variantes plus récentes (telles que MyCouponsmart, MyShopcoupon ou autres). De telles applications/images de disque peuvent également être distribuées en utilisant des sources non officielles de téléchargement de logiciels, telles que les réseaux Peer-to-Peer (P2P), les sites Web d'hébergement de fichiers gratuits, les sites Web de téléchargement de logiciels gratuits, et similaires. Encore une fois, les escrocs présentent les exécutables malveillants comme des logiciels légitimes, ce qui amène les utilisateurs à télécharger/installer manuellement des logiciels malveillants.
Comment éviter l'installation d'applications potentiellement indésirables ?
Afin de prévenir de telles infections informatiques, les utilisateurs doivent être très prudents lorsqu'ils naviguent sur Internet et téléchargent/mettent à jour/installent des logiciels. Il est extrêmement important de ne télécharger les logiciels qu'à partir de sources officielles, en utilisant des liens de téléchargement directs (les téléchargeurs/installateurs tiers incluent souvent des applications malhonnêtes, c'est pourquoi ces outils ne devraient pas être utilisés). Des règles similaires s'appliquent aux mises à jour logicielles. Il est indispensable de tenir à jour les applications installées et le système d'exploitation. Toutefois, cela ne devrait se faire qu'à l'aide de fonctions ou d'outils mis en œuvre par le développeur officiel. Enfin, assurez-vous de toujours disposer d'une suite antivirus/anti-logiciel espion de bonne réputation - des outils de ce type vous aideront à détecter et à éliminer les logiciels malveillants avant qu'ils ne nuisent au système. Si votre ordinateur est déjà infecté par des PUA, nous vous recommandons d'effectuer un scan avec Combo Cleaner pour les éliminer automatiquement.
Installateur trompeur faisant la promotion du logiciel publicitaire MyCouponsmart :
Suppression instantanée et automatique des maliciels sur Mac :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels recommandé pour supprimer les maliciels Mac. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner pour Mac
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. Essai gratuit limité de trois jours disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que "OSX/Linker" ?
- ETAPE 1. Supprimer les fichiers et dossiers liés au PUA d'OSX.
- ETAPE 2. Supprimer les extensions malhonnêtes de Safari.
- ETAPE 3. Supprimer les add-ons malhonnêtes de Google Chrome.
- ETAPE 4. Supprimer les plug-ins potentiellement indésirables de Mozilla Firefox.
Vidéo montrant comment supprimer les pirates de navigateurs et les logiciels publicitaires d'un ordinateur Mac :
Suppression d'applications potentiellement indésirables :
Supprimez les applications potentiellement indésirables de votre dossier "Applications" :
Cliquez sur l'icône Finder. Dans la fenêtre du Finder, sélectionnez "Applications". Dans le dossier des applications, recherchez "MPlayerX", "NicePlayer" ou d'autres applications suspectes et faites-les glisser vers la Corbeille. Après avoir supprimé la ou les applications potentiellement indésirables qui sont à l'origine des publicités en ligne, scannez votre Mac à la recherche de tout composant indésirable restant.
Suppression des fichiers et dossiers reliés au logiciel malveillant osx/linker:
Cliquer l'Icône Trouver, dans la barre des menus, choisissez Aller, et cliquer Aller au dossier...
Rechercher les fichiers générés par le logiciel de publicité dans le dossier Library/LaunchAgents:
Dans la barre Aller au dossier... taper: Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés dans le dossier de /Library/Application Support :
Dans la barreAller au dossier..., taper: /Library/Application Support
Dans le dossier “Application Support” , rechercher tous les dossiers suspects récemment ajoutés. Par exemple, “MplayerX” or “NicePlayer”, et déplacer ces dossiers dans la Corbeille.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier ~/Library/LaunchAgents:
Dans la barre Aller au dossier, taper : ~/Library/LaunchAgents
Dans le dossier “LancerlesAgents”, recherché tous les fichiers suspects récemment ajoutés et déplacez-les dans la Corbeille. Exemples de fichiers générés par un logiciel de publicité- “installmac.AppRemoval.plist”, “myppes.download.plist”, “mykotlerino.ltvbit.plist”, “kuklorest.update.plist”, etc. Le logiciel de publicité installe habituellement plusieurs fichiers avec la même chaîne.
Rechercher les fichiers générés par le logiciel de publicité dans le dossier /Library/LaunchDaemons:
Dans la barre Aller au dossier, taper : /Library/LaunchDaemons
Dans le dossier “LaunchDaemons” , rechercher tous les fichiers suspects récemment ajoutés . Par exemple, “com.aoudad.net-preferences.plist”, “com.myppes.net-preferences.plist”, "com.kuklorest.net-preferences.plist”, “com.avickUpd.plist”, etc., et déplacez-les dans la Corbeille.
Scanner votre Mac avec Combo Cleaner:
Si vous avez suivi toutes les étapes dans le bon ordre votre Mac devrait être libre de toutes infections. Pour être sûr que votre système n’est pas infecté exécuté un scan avec l’antivirus Combo Cleaner. Télécharger ICI. Après avoir téléchargé le fichier double cliqué sur combocleaner.dmg installer, dans la fenêtre ouverte glisser et déposer l’icône Combo Cleaner sur le dessus de l’icône Applications. Maintenant ouvrez votre launchpad et cliquer sur l’icône Combo Cleaner. Attendez jusqu’à Combo Cleaner mette à jour sa banque de données de définition de virus et cliquer sur le bouton 'Démarrez Combo Cleaner'.
Combo Cleaner scanner votre Mac à la recherche d’infections de logiciels malveillants. Si le scan de l’antivirus affiche 'aucune menace trouvée' – cela signifie que vous pouvez continuez avec le guide de suppression, autrement il est recommandé de supprimer toute infection avant de continuer.
Après avoir supprimé les fichiers et les dossiers générés par le logiciel de publicité, continuer pour supprimer les extensions escrocs de vos navigateurs internet.
Suppression du logiciel malveillant osx/linker dans les navigateurs Internet :
Suppression des extensions malicieuses dans Safari:
Suppression des extensions reliées à logiciel malveillant osx/linker dans Safari :
Ouvrez le navigateur Safari. Dans la barre menu, sélectionner "Safari" et cliquer "Préférences...".
Dans la fenêtre préférences, sélectionner "Extensions" et rechercher tous les extensions suspectes récemment installées. Quand vous l'avez trouvée, cliquer le bouton "Désinstaller" à côté de celle (s)-ci. Noter que vous pouvez désinstaller de façon sécuritaire les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Safari.
Supprimer les plug-ins malicieux dans Mozilla Firefox:
Supprimer les ajouts reliés à logiciel malveillant osx/linker dans Mozilla Firefox :
Ouvrez votre navigateur Mozilla Firefox. Dans le coin supérieur droit de l'écran, cliquer le bouton "Ouvrir le Menu" (trois lignes horizontales). Dans le menu ouvert, choisissez "Ajouts".
Choisissez l'onglet "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Supprimer" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Mozilla Firefox - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Mozilla Firefox.
Suppression des extensions malicieuses dans Google Chrome :
Suppression des ajouts reliés à logiciel malveillant osx/linker dans Google Chrome :
Ouvrez Google Chrome et cliquer le bouton "menu Chrome" (trois lignes horizontales) localisé dans le coin supérieur droit de la fenêtre du navigateur. À partir du menu déroulant, cliquer "Plus d'outils" et sélectionner "Extensions".
Dans la fenêtre "Extensions" et rechercher tous les ajouts suspects récemment installés. Quand vous l'avez trouvée, cliquer le bouton "Corbeille" à côté de celui (ceux)-ci. Noter que vous pouvez désinstaller de façon sécuritaire toutes les extensions dans vote navigateur Safari - aucune n'est cruciale au fonctionnement normal du navigateur.
- Si vous continuez à avoir des problèmes avec les redirections du navigateur et des publicités indésirables - Restaurer Google Chrome.
!Remarquable!
▼ Montrer la discussion