Un virus Mac déguisé en Bart Simpson

Cloud

Un AppleScript défraye actuellement la chronique : un petit malin s’est amusé avec les commandes disponibles dans tout bon programme gérant le langage de programmation propre au Mac. Et de le propager sous la forme d’un ver ou d’un cheval de Troie en pièce jointe à un e-mail. Les spécialistes estiment son impact de faible à modéré. Heureusement, les mesures de protection sont simples.

Voilà de quoi, au choix, prouver que le langage de programmation AppleScript peut servir à l’automatisation de tâches, quand il est bien utilisé, ou tout bonnement provoquer une crise de nerfs ! Un ver (worm), dont le spécialiste Symantec indique qu’il n’a pour l’instant reçu que peu d’exemplaires, se propage actuellement sur le Web dans les e-mails. Il s’agit d’un script qui, une fois exécuté, réalise quelques opérations avant de se transmettre à la liste de vos correspondants. La « bête » utilise pour cela le client Outlook Express dans sa version 5.02 ou Entourage, fourni dans la suite Microsoft Office 2001. Le script porte le nom « Simpson Episodes », tandis que l’objet de l’e-mail serait « Secret Simpson Episodes ». Les quelques antivirus du marché ne sont pour le moment pas en mesure de l’éradiquer automatiquement. Pour cette raison, il convient d’observer une certaine prudence à la réception d’e-mails contenant du texte dans la langue de Shakespeare. En particulier s’ils font référence à des épisodes inédits de la famille Simpson, le célèbre dessin animé américain. Ce script n’affecte pas la plate-forme PC et semble ne fonctionner qu’à partir de la version 9 de Mac OS. Il semblerait qu’il ne puisse pas se propager si votre connexion à l’Internet se fait par la prise Ethernet (dans le cas d’une connexion haut débit par exemple), le virus n’étant apparemment programmé que pour l’utilisation de PPP.

Les tâches qu’il effectue se font dans l’ordre suivant : à l’ouverture, copie dans le dossier d’ouverture au démarrage du ‘Dossier Système’, lancement d’Internet Explorer pour atteindre le site « http://www.snpp.com/episodeguide.html ». Internet Explorer se relance à chaque tentative pour le quitter. Dans le même temps, ouverture du client d’e-mail (si ce n’est pas déjà fait) et envoi d’une copie du script à tous les destinataires du carnet d’adresses de l’utilisateur. Impossible de quitter le script, d’après Mark Weston, un lecteur de MacinTouch, sauf à le forcer à quitter (appuyer simultanément sur les touches pomme-option-échappement). Les contre-mesures sont assez simples : première précaution évidemment, ne pas exécuter la pièce jointe ! Si c’est déjà fait, pour éliminer le script reçu, il convient de redémarrer l’ordinateur en appuyant sur la touche ‘Majuscule’ entre le moment où les extensions (les icônes apparaissant les unes derrières les autres au démarrage) sont en train de se charger et avant que le bureau n’apparaisse. Cette opération a pour effet de désactiver les fichiers s’ouvrant au démarrage. Ensuite, ouvrez le dossier d’ouverture se trouvant dans votre dossier système, et glissez le script incriminé à la corbeille. N’oubliez pas de détruire l’e-mail reçu et d’avertir son expéditeur de l’attaque.

De l’utilité des scripts

Les dommages occasionnés par ce type d’automate ne sont pas particulièrement méchants, bien que gênants. Le principal ennui qu’ils peuvent occasionner serait de faire s’écrouler les serveurs de mails si des envois en masse sont effectués. Ils sont avant tout destinés à apeurer les utilisateurs de Mac les moins chevronnés. Ils montrent toutefois l’utilité des scripts. Une des méthodes possibles pour éradiquer ces attaques dans Entourage consisterait tout simplement à créer un script s’exécutant automatiquement à réception d’un e-mail avec attachement, permettant de déterminer le type dudit fichier. Ce type d’attaque pourrait se renouveler à mesure de l’adoption du Mac, en raison de la facilité de programmation des AppleScripts. Les vers restent en effet une menace chronique sur Mac (voir édition du 19 janvier 2001).

Pour en savoir plus :

* Le rapport spécial sur le site de MacinTouch (en anglais)

* La fiche sur le site de Symantec (en anglais)