Le cheval de Troie Crisis a été développé dans le but d'être difficilement repérable par les experts en sécurité informatique. De surcroît, il a la faculté de faire fi des fonctionnalités de sécurité de Mac OS X et s'installe tout seul sans même nécessiter l'interaction d'une personne.

Intego a repéré ses accointances avec l'adresse IP 176.58.100.37 à laquelle il fait appel à fréquence régulière - toutes les 5 minutes - pour suivre des instructions.

Pour l'heure, les versions 10.6 (Snow Leopard) et 10.7 (Lion) de Mac OS X sont susceptibles d'être la cible de Crisis.

Pour vous en débarrasser, il faut avant tout le repérer puis l'effacer avec le programme adéquat. Un reboot n'en viendra pas à bout et sa force est de pouvoir s'installer seul sans que l'administrateur n'ait à donner son mot de passe admin. Mais, s'il vient à être installé sur le compte utilisateur avec les permissions root, il installera alors des programmes supplémentaires dont un rootkit afin de dissimuler son activité.

Voici le répertoire que Crisis créé et où il dépose 14 fichiers :
/Library/ScriptingAdditions/appleHID/

Et avec accès root, il crée ce répertoire supplémentaire dans lequel il dépose 17 autres fichiers :
/System/Library/Frameworks/Foundation.framework/XPCServices/

Intego précise qu'une mise à jour de son logiciel antivirus VirusBarrier X6 empêche le malware de s'installer.

malware_Crisis_Mac_OS_X_Intego-GNT

Source : Intego