Un programme malveillant infecterait des Mac depuis des années, Réactions à la publication du 25/07/2017

[Lionel]

Tout récemment, un logiciel malveillant a été découvert sur nos Mac. Il infecterait bon nombre de machines depuis des années sans jamais avoir été détecté. Il ressemble à un autre logiciel malveillant découvert en début d'année, mais cette variante toucherait bien plus de machines.

Ce logiciel est fort étrange, il n'ouvre pas de portes dérobées, ne permet pas d'installer de ransomwares et ne semble tout simplement pas avoir été développé par des groupes de pirates cherchant à gagner de l'argent.
Il semble plutôt avoir été développé pour espionner les utilisateurs et est capable de récupérer captures d'écrans, frappes claviers, d'accéder à la webcam des machines et à leur micro.

Il semble même avoir été abandonné depuis un moment par ses créateurs. Les noms de domaines où les machines devaient envoyer des informations et recevoir des instructions ont été abandonnés. Cela soulève toutefois la crainte que d'autres pirates ne récupèrent ces noms de domaine et ne relancent à leur compte la machine.

On attend maintenant que des outils soient développés pour l'éradiquer, ce qui ne sera pas simple étant donné que le logiciel utilise une bonne partie de son code afin de tout mettre en oeuvre pour résister à des désinstallations.

Lien vers le billet original

[3x7]

Mmmm, en trois lettres finissant par A

Si c'est le cas, je ne vois pas pourquoi ils auraient abandonné un truc parfaitement opérationnel, si ce n'est pour avoir mieux… … et depuis longtemps…

[WipeOut]

NSA or CIA or FBI or USA

[Macnford]

Cela soulève toutefois la crainte que d'autres pirates ne récupèrent ces noms de domaine et ne relancent à leur compte la machine.

Petite question aux connaisseurs : sauf erreur, l'obtention d'un nom de domaine est soumise à déclaration d'identité, comment font ceux qui veulent un domaine sans se dévoiler ? Classique usurpation d'identité ? Ou bien existe-t-il quand même la possibilité d'obtenir un NDD sous anonymat ?

[Highmac]

Argh !!!
C'est MacKeeper !

[Carnivoreimac007]

Cela soulève toutefois la crainte que d'autres pirates ne récupèrent ces noms de domaine et ne relancent à leur compte la machine.

Petite question aux connaisseurs : sauf erreur, l'obtention d'un nom de domaine est soumise à déclaration d'identité, comment font ceux qui veulent un domaine sans se dévoiler ? Classique usurpation d'identité ? Ou bien existe-t-il quand même la possibilité d'obtenir un NDD sous anonymat ?

il est tres facile de prendre un nom de domaine.
sans verification de l'identité.

et meme plus il est possible de les masquées dans le whois.

certains extention de nom de domaine sont sans contrôle.

[paradisestation]

Y'a moyen d'en savoir plus du coup ? Son nom ? Le moyen de le désinstaller si possible ? Genre un minimum d'infos en plus ?

[zero]

Y'a moyen d'en savoir plus du coup ? Son nom ? Le moyen de le désinstaller si possible ? Genre un minimum d'infos en plus ?

Ça serait bien car là, on fait bien flipper tout le monde puis on nous laisse sur notre fin.

[jakin1950]

pour supprimer des fichiers récalcitrants , il faut passer à un super utilisateur , root sous unix

L'autre solution est de lire le disque avec un autre OS , qui va voir tous les fichiers cachés

Le plus simple me semble de surveiller little snitch si on connait l'adresse IP ou le nom de domaine appelé.

Sur windows, il y a le couple ZHPDIAG qui cree un fichier texte . Il faut des connaissances pour programmer ensuite ZHPFIX qui fera le menage

Cette histoire est probablement un marronnier d'été

[downanotch]

Brève inutilement alarmiste. L'article source parle de centaines de Mac, c'est très différent du "bon nombre" utilisé ici. L'article dit également que le malware utilise une méthode assez grossière (crude en VO) pour rester installé et qu'il est nettement plus facile à détecter que les malware récents.

Ce message a été modifié par downanotch - 25 Jul 2017, 08:56.

[castor74]

Y'a moyen d'en savoir plus du coup ? Son nom ? Le moyen de le désinstaller si possible ? Genre un minimum d'infos en plus ?

Ça serait bien car là, on fait bien flipper tout le monde puis on nous laisse sur notre fin.

Lol... Je ne suis pas pressé d'en finir... La faim, c'est un peu mieux, non?

[Lionel]

Brève inutilement alarmiste. L'article source parle de centaines de Mac, c'est très différent du "bon nombre" utilisé ici. L'article dit également que le malware utilise une méthode assez grossière (crude en VO) pour rester installé et qu'il est nettement plus facile à détecter que les malware récents.

Nos lecteurs te connaissant bien seront certainement rassurés de connaître ton avis totalement objectif sur un problème touchant Apple.
La source parle de 400 Mac et peut-être de beaucoup plus. A combien évalues tu un "bon nombre" ? Seulement à ce qui t'arrange.
Autrement, il est tellement facile à détecter que personne ne l'avait vu depuis des années. PAs à dire tu es trop fort dans tes certitudes que tout ce qui touche Apple est frappé par la grâce divine. D'ailleurs tu as oublié de dire que ceux qui avaient ce malware étaient touchés par la grâce divine et que c'est la raison pour laquelle Apple ne l'a pas éliminé.
STP, retourne dans ton monde de bisounours avec une pomme sur leur ventre et laisse les gens sérieux parler de problèmes sérieux touchant nos Mac.

Cela soulève toutefois la crainte que d'autres pirates ne récupèrent ces noms de domaine et ne relancent à leur compte la machine.

Petite question aux connaisseurs : sauf erreur, l'obtention d'un nom de domaine est soumise à déclaration d'identité, comment font ceux qui veulent un domaine sans se dévoiler ? Classique usurpation d'identité ? Ou bien existe-t-il quand même la possibilité d'obtenir un NDD sous anonymat ?

Il existe des referars aux contraintes faibles dans le monde. Sinon, plus facile, tu usurpes une identité. Il me faut 5 minutes sur internet pour trouver et accéder à assez de données personnelles sur un individu pour le faire passer pour lui. Trop de gens sauvegardent leur vie entière (CNI, passeport, RIB, déclarations d'impôt) sans même mettre de mot de passe sur leur NAS et là je ne parle pas d'autre faille de sécurité que l'utilisateur en lui-même

Y'a moyen d'en savoir plus du coup ? Son nom ? Le moyen de le désinstaller si possible ? Genre un minimum d'infos en plus ?

Pour me moment non car les infos seraient à double tranchant en permettant aussi à des pirate de récupérer l'opération à leur compte.

[downanotch]

Y'a moyen d'en savoir plus du coup ? Son nom ? Le moyen de le désinstaller si possible ? Genre un minimum d'infos en plus ?

Pour me moment non car les infos seraient à double tranchant en permettant aussi à des pirate de récupérer l'opération à leur compte.

Dans l'article cité en source on lit pourtant :

A recent submission to the VirusTotal malware detection service shows that 19 of the top 56 AV- and endpoint-protection products now detect the malware.

Mais bon, je vais laisser parler "les gens sérieux". Qui pourraient par exemple nous dire quelle est la source de cette affirmation : le logiciel utilise une bonne partie de son code afin de tout mettre en oeuvre pour résister à des désinstallations car l'article de ArsTechnica ne dit pas cela.

Ce message a été modifié par downanotch - 25 Jul 2017, 09:45.

[Lilac Wine]

La source parle de 400 Mac et peut-être de beaucoup plus. A combien évalues tu un "bon nombre" ? Seulement à ce qui t'arrange.

Dans ce cas, pourquoi ne pas avoir écrit "400 Mac et sans doute beaucoup plus" plutôt que "bon nombre" qui ne veut rien dire ?

[Lionel]

La source parle de 400 Mac et peut-être de beaucoup plus. A combien évalues tu un "bon nombre" ? Seulement à ce qui t'arrange.

Dans ce cas, pourquoi ne pas avoir écrit "400 Mac et sans doute beaucoup plus" plutôt que "bon nombre" qui ne veut rien dire ?

Parce que je savais fort bien que certains spécialistes viendraient critiquer la brève qui leur fait mal par sa simple existence. Dans ce cas j'ai laissé un point qui peut être considéré comme litigieux afin de leur donner du grain à moudre avec un certain contrôle.

[zebigbug]

Cela soulève toutefois la crainte que d'autres pirates ne récupèrent ces noms de domaine et ne relancent à leur compte la machine.

Petite question aux connaisseurs : sauf erreur, l'obtention d'un nom de domaine est soumise à déclaration d'identité, comment font ceux qui veulent un domaine sans se dévoiler ? Classique usurpation d'identité ? Ou bien existe-t-il quand même la possibilité d'obtenir un NDD sous anonymat ?

Une bonne source d'info , les spammeurs..

[Homer Simpson]

Et comment on le repère ???

[Lionel]

Promis, dès qu'on en sait plus, je commence par vous informer avant même de vérifier mon Mac

[raoulito]

n'empeche, on avait les outils pour creer les virus et autres spywares, voici maintenant les anciens virus spyware oubliés qui continuent de se développer tous seuls, sans l'aide de personne...

Ca me rappel V-Ger et le premier star trek

[iAPX]

Promis, dès qu'on en sait plus, je commence par vous informer avant même de vérifier mon Mac

Hâte d'en savoir plus ici, j'étais surpris que tu ne cites pas ta source, parce qu'évidemment j'allais lire l'article, mais en suivi le fil ici, j'ai compris les tenants et aboutissants.
Pourrais-tu au moins indiquer le domaine de C&C, afin qu'on puisse préventivement le rentrer dans son /etc/hosts pour bloquer la communication?

[la cheffe]

C'est de cela dont il s'agit ?
Ici

[divoli]

Il faut quand même reconnaitre que quand certains membres (avec un historique bien connu) se mettent à écrire qu'une brève est inutilement alarmiste, c'est qu'au contraire il y a justement lieu de s'inquiéter.

[Lionel]

C'est de cela dont il s'agit ?
Ici

Oui.

[downanotch]

Il faut quand même reconnaitre que quand certains membres (avec un historique bien connu) se mettent à écrire qu'une brève est inutilement alarmiste, c'est qu'au contraire il y a justement lieu de s'inquiéter.

Tous les serveurs de contrôle sont neutralisés, c'est écrit texto dans l'article source de Lionel :

[...] all domains known to be associated with the malware are no longer available, a move that essentially neutralizes the threat.

Sans parler du fait que le malware semble être abandonné depuis longtemps…

Donc oui, la brève est inutilement alarmiste.

Ce message a été modifié par downanotch - 25 Jul 2017, 13:22.

[divoli]

Ma main à couper que l'on aura droit à une mise à jour de la part d'Apple dans les prochaines semaines.

[raoulito]

Ma main à couper que l'on aura droit à une mise à jour de la part d'Apple dans les prochaines semaines.

ils disent pareil dans l'article de MacG, en effet...

[downanotch]

Ma main à couper que l'on aura droit à une mise à jour de la part d'Apple dans les prochaines semaines.

Il y aura probablement une mise à jour de XProtect, comme cela a été le cas au début de l'année pour la première variante de ce malware.

[Lionel]

Il faut quand même reconnaitre que quand certains membres (avec un historique bien connu) se mettent à écrire qu'une brève est inutilement alarmiste, c'est qu'au contraire il y a justement lieu de s'inquiéter.

Tous les serveurs de contrôle sont neutralisés, c'est écrit texto dans l'article source de Lionel :

[...] all domains known to be associated with the malware are no longer available, a move that essentially neutralizes the threat.

Sans parler du fait que le malware semble être abandonné depuis longtemps…

Donc oui, la brève est inutilement alarmiste.

Mauvaise foi volontaire ou pas ?
Lis l'article de bout en bout. Les serveurs de sauvegarde du malware sont toujours actifs, sinon on aurait pas pu avoir de remontées sur le nombre de machines potentiellement infectées.
En plus, mais là je spécule, rien ne dit que d'autres variantes n'ont pas codées en dur des noms de domaine différents.
Pour finir, je me marre de voir que tu es fier que nombre d'antiviraux récents (pas tous) soient capables de le détecter alors que tu fais partie de ceux qui ont toujours défendu mordicus qu'un antiviraux sur Mac ne servait à rien.
Tu prouve que la distorsion du champ de réalité existe à fond encore pour certains.
Maintenant, je le répète, il existe un malware qui a réussi à passer à travers les mailles du filet depuis des années, l'essentiel est là, parce qu'autant vous dire qu'il risque de donner des idées à certains.
Maintenant, je n'ai jamais dit qu'Apple a failli, sinon Microsoft aurait fermé depuis longtemps. Mais certains craignent tellement que l'on puisse parler en négatif d'Apple qu'ils en oublient que rien n'est infaillible dans ce monde et que la seule certitude est que chacun mourra un jour. Désolé pour eux si la faucheuse m'a raté de peu l'an dernier.

Ma main à couper que l'on aura droit à une mise à jour de la part d'Apple dans les prochaines semaines.

Il y aura probablement une mise à jour de XProtect, comme cela a été le cas au début de l'année pour la première variante de ce malware.

C'est même certain.

[downanotch]

Lis l'article de bout en bout.

Les serveurs de sauvegarde du malware sont toujours actifs, sinon on aurait pas pu avoir de remontées sur le nombre de machines potentiellement infectées.

Le domaine de sauvegarde était libre et a été enregistré par Patrick Wardle. Il y a ensuite rattaché son propre serveur. Tu devrait peut-être lire l'article de bout en bout.

Pour finir, je me marre de voir que tu es fier que nombre d'antiviraux récents (pas tous) soient capables de le détecter alors que tu fais partie de ceux qui ont toujours défendu mordicus qu'un antiviraux sur Mac ne servait à rien.

Fier ? Je relevais juste une contre-vérité supplémentaire de ta part.

Tu prouve que la distorsion du champ de réalité existe à fond encore pour certains.

L'oeil… la poutre… tout ça…

Ce message a été modifié par downanotch - 25 Jul 2017, 14:46.

[SartMatt]

Petite question aux connaisseurs : sauf erreur, l'obtention d'un nom de domaine est soumise à déclaration d'identité, comment font ceux qui veulent un domaine sans se dévoiler ? Classique usurpation d'identité ? Ou bien existe-t-il quand même la possibilité d'obtenir un NDD sous anonymat ?

Rien de plus simple que d'ouvrir un nom de domaine anonymement. Même des gros registrars connus, comme OVH en France, ne font absolument aucune vérification d'identité, sauf avec quelques extensions dont le gérant est particulièrement exigeant.