Virus Mac, OSX/RSPlug.A9 et + comment faire ?

r e m y

Cas clinique
Club MacG
4 Novembre 2000
41 492
4 302
58
St Germain en Laye - FRANCE
Bonjour à tous,

Votre fichier Xprotect.plist, je ne le trouve pas.


Quand je me rends là : System/Library/CoreServices/CoreTypes.bundle/ , je ne peux pousser l'investigation plus loin,

Clic-droit sur ce fichier et choisir "Afficher le contenu du paquet""
 

TiteLine

Indiana Jane ©
Club MacG
22 Janvier 2009
3 907
1 790
Here & there
www.douze-royaumes.net
Clic-droit sur ce fichier et choisir "Afficher le contenu du paquet""


Merci (je m'sens nioub / nouille sur ce coup ... :D ) J'ai pu jeter un coup d'oeil.

Le fichier n'a pas été modifié depuis le 2 juin. :)

Va falloir que je m'amuse également à cocher / décocher dans préférences système.
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Cela dit, si les mises-à-jour ne servent qu'à détecter les nouvelles variantes de MacDefender, je n'en vois pas trop l'utilité en ce moment.

MacDefender n'est même pas un malware, il suffit d'être averti du problème pour ne pas s'y laisser prendre (pourquoi autoriserait-on l'installation d'un antivirus qu'on n'a pas sollicité ?), et on risque d'en voir apparaître une nouvelle version chaque jour.
 
  • J’aime
Réactions: TiteLine

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 126
625
À côté (de ma plaque)
Dernière édition:

r e m y

Cas clinique
Club MacG
4 Novembre 2000
41 492
4 302
58
St Germain en Laye - FRANCE

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 126
625
À côté (de ma plaque)
Grillé de 3 heures.... c'est carbonisé que ça s'appelle, non? :D
Pour le clic droit, oui = j'ai encore zappé la nouvelle page de ce sujet, où tu avais déjà répondu… :siffle:

Sinon, après trois heures au jardin, j'ai un petit coup de soleil : rosé, mais pas noir ! :)
 

r e m y

Cas clinique
Club MacG
4 Novembre 2000
41 492
4 302
58
St Germain en Laye - FRANCE

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
La dernière version de Mac Defender s'appelle Mac Shield (avec un mshSetup.pkg pour un mdDownloader), et s'installe sans demander le mot de passe admin, semble-t-il
En revanche, l'utilisateur doit toujours démarrer l'installation en cliquant sur le bouton « Installer ». Encore une fois, pour l'attraper, il faut le vouloir.
 

TiteLine

Indiana Jane ©
Club MacG
22 Janvier 2009
3 907
1 790
Here & there
www.douze-royaumes.net
En revanche, l'utilisateur doit toujours démarrer l'installation en cliquant sur le bouton « Installer ». Encore une fois, pour l'attraper, il faut le vouloir.

Ah, j'avais zappé ça :)

Il change de nom tous les jours, en revanche, la façon de l'éradiquer reste la même et semble simplissime.
Much Ado About Nothing :sleep: à partir du moment où n'est pas crédule :)
 

wath68

•••
Club MacG
2 Novembre 2007
5 901
783
French East Coast
:siffle: euh non rien lol

C'est ça quand on ne fait pas attention qu'il y a d'autres pages qui suivent, on croit répondre et en fait non, on se fait magistralement griller, telle une vulgaire chipolata.
 
  • J’aime
Réactions: FrançoisMacG

bompi

El Moderador
Modérateur
Club MacG
12 Février 2004
41 927
3 160
Le vrai week-end barbecue, quoi.
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 126
625
À côté (de ma plaque)
Un commentaire d'une News MacGé propose une commande pour valider la mise à jour automatique de XProtect.plist :
Bloc de code:
sed -n -e 's/.*<string>\(.*\)<\/string>.*/\1/p' /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

avec un lien explicatif vers sed.
 

r e m y

Cas clinique
Club MacG
4 Novembre 2000
41 492
4 302
58
St Germain en Laye - FRANCE
Un commentaire d'une News MacGé propose une commande pour valider la mise à jour automatique de XProtect.plist :
Bloc de code:
sed -n -e 's/.*<string>\(.*\)<\/string>.*/\1/p' /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/XProtect.meta.plist

avec un lien explicatif vers sed.

Je ne crois pas que ce soit destiné à valider la mise à jour automatique du fichier Xprotect.plist, mais juste un moyen de récupérer la date de mise à jour de ce fichier, non?
 

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 126
625
À côté (de ma plaque)
Je ne crois pas que ce soit destiné à valider la mise à jour automatique du fichier Xprotect.plist, mais juste un moyen de récupérer la date de mise à jour de ce fichier, non?
Tu as raison : c'est juste une commande plus pointue que grep GMT. :(

---------- Nouveau message ajouté à 18h04 ---------- Le message précédent a été envoyé à 16h51 ----------

Alors, j'ai tout repris du début, et installé la mise à jour 2011-003 sur mon Mac.

La mise à jour des définitions de Trojan se fait normalement toutes les 24 heures et à chaque redémarrage du Mac : Intego le dit,
et ça se confirme par la lecture du com.apple.Xprotectupdater.plist (l'intervalle défini y est de 86400 secondes, soit 24 heures, et c'est un LaunchDaemon du Système).

Et la seule façon (la seule que j'ai pu trouver) de fixer la mise à jour (en attendant un correctif d'Apple) est de changer le paramétrage des Préférences Système > Sécurité (décochage, puis recochage) en laissant les Préférences Système ouvertes moins de 30 secondes : si on dépasse ce délai, ou si on va dans une autre Préf Système, le reparamétrage ne s'enregistre pas.
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Dans ce cas, j'imagine qu'on peut lancer une vérification de la mise-à-jour avec la commande :
Bloc de code:
/usr/libexec/XProtectUpdater
Cela dit, si la commande provoque bien une connexion au serveur, on ne pourra vraiment vérifier que ça fonctionne qu'à la prochaine mise-à-jour de Xprotect.plist.
 

TiteLine

Indiana Jane ©
Club MacG
22 Janvier 2009
3 907
1 790
Here & there
www.douze-royaumes.net
Le vrai week-end barbecue, quoi.

Barbecue de neurones en ce qui me concerne .... :D

Sérieusement, je suppose que vérifier que le fichier est à jour etc ... c'est de la pure distraction?

Tant qu'il faudra cliquer sur installer pour installer le bousin, je ne me poserai plus de questions. :D
 
  • J’aime
Réactions: Human-Fly

FrançoisMacG

Pince-fourmis
Club MacG
17 Août 2006
16 126
625
À côté (de ma plaque)
Dans ce cas, j'imagine qu'on peut lancer une vérification de la mise-à-jour avec la commande :
Bloc de code:
/usr/libexec/XProtectUpdater
D'après ce que j'ai compris de mes lectures, on lance la mise la jour avec cette commande (à faire en sudo) :

c'est l'équivalent du décochage-recochage lent dans Préférences Système.
 

r e m y

Cas clinique
Club MacG
4 Novembre 2000
41 492
4 302
58
St Germain en Laye - FRANCE
Sur mes Macs, je n'ai plus de mise à jour d'Xprotect.plist depuis le 24 juin...
MacDefender a disparu et Apple n'a plus besoin de mettre à jour ce fichier???

Vous faites le même constat chez vous?
 

TiteLine

Indiana Jane ©
Club MacG
22 Janvier 2009
3 907
1 790
Here & there
www.douze-royaumes.net
Cela fait belle lurette que je ne vérifie plus rien mais cela est peut être lié à la maj en 10,6,8 ? :)
 
  • J’aime
Réactions: twinworld