Un malware découvert sous macOS, Réactions à la publication du 18/01/2017 |
Bienvenue invité ( Connexion | Inscription )
Un malware découvert sous macOS, Réactions à la publication du 18/01/2017 |
18 Jan 2017, 16:59
Message
#1
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 342 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
Malwarebytes a annoncé avoir découvert ce qui serait le premier malware Mac de l'année 2017. Il a été baptisé OSX.Backdoor.Quimitchin en référence à un espion aztèque.
Le logiciel, qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, prend régulièrement des captures d'écrans, les envoie à l'extérieur, et tente d'accéder à la webcam. La chose la plus intéressante est la manière dont il a été codé. Il fait appel à des bibliothèques et des appels système dépréciés depuis de longues années comme, SGSetChannelBounds, SGSetChannelUsage, SGSetDataProc, SGStartRecord, SGGetChannelSampleDescription... Certains datent d'avant Mac OS X. Cela lui permettrait, avec cette façon de fonctionner très spécifique, de retarder sa découverte par les systèmes de détection modernes. On notera également qu'il semble pouvoir fonctionner en bonne partie sous Linux. Pour finir, il semble en circulation depuis un moment, probablement depuis 2014. Si l'on ne l'a pas découvert plus vite, c'est qu'il n'a visiblement été exploité que rarement, et dans des cas très particuliers. Lien vers le billet original -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
18 Jan 2017, 17:14
Message
#2
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 415 Inscrit : 31 Aug 2006 Membre no 67 018 |
Aucune info pour vérifier si notre mac est infecté ? Et pour s'en débarrasser ?
|
|
|
18 Jan 2017, 17:25
Message
#3
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 289 Inscrit : 27 Oct 2010 Membre no 160 569 |
Aucune info pour vérifier si notre mac est infecté ? Et pour s'en débarrasser ? Malwarebytes le detecte. Sinon il suffit de virer ces 2 fichiers. ~/.client ~/Library/LaunchAgents/com.client.client.plist -------------------- Hackintosh i7-6850K OC 4.3ghz, 32go ram, gtx 1080 8go, Samsung SSD 850 EVO 1 To, Sierra 10.12.6
|
|
|
18 Jan 2017, 19:48
Message
#4
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 1 653 Inscrit : 24 Jun 2004 Lieu : Grenoble Membre no 20 409 |
Génial, déjà que Apple a tendance a tuer tout ce qui prend un peu d'âge, on est parti pour ne plus pouvoir lancer toute application de plus de 1 an ? 6 mois ? 1 mois ? 1 jour ? une heure ? ... rayer la mention inutile !
|
|
|
18 Jan 2017, 20:22
Message
#5
|
|
Nouveau Membre Groupe : Membres Messages : 24 Inscrit : 1 Feb 2004 Membre no 14 116 |
En faisant une recherche sur mon imac sous osx 1075, je trouve ces malwares, dans deux fichiers:
QuickTimeComponents.h et QuickTimeComponents.k.h De type BBEdit text document. En lisant les informations pour le premier voici l'aperçu donné (pas copiable), par glissé-déposé cela donne : /Applications/Data Rescue II/System/Library/Frameworks/QuickTime.framework/Versions/A/Headers/QuickTimeComponents.h En ouvrant le premier document, et recherche : /* * SGSetDataProc() * * Availability: * Mac OS X: in version 10.0 and later in QuickTime.framework * CarbonLib: in CarbonLib 1.0 and later * Non-Carbon CFM: in QuickTimeLib 2.5 and later * Windows: in qtmlClient.lib 3.0 and later */ extern ComponentResult SGSetDataProc( SeqGrabComponent s, SGDataUPP proc, long refCon) AVAILABLE_MAC_OS_X_VERSION_10_0_AND_LATER; C'est grave docteur ? |
|
|
18 Jan 2017, 20:55
Message
#6
|
|
Macbidouilleur d'Or ! Groupe : Modérateurs Messages : 2 947 Inscrit : 5 Oct 2001 Lieu : Nantes, 44 Membre no 951 |
En faisant une recherche sur mon imac sous osx 1075, je trouve ces malwares, dans deux fichiers: QuickTimeComponents.h et QuickTimeComponents.k.h De type BBEdit text document. En lisant les informations pour le premier voici l'aperçu donné (pas copiable), par glissé-déposé cela donne : /Applications/Data Rescue II/System/Library/Frameworks/QuickTime.framework/Versions/A/Headers/QuickTimeComponents.h En ouvrant le premier document, et recherche : /* * SGSetDataProc() * * Availability: * Mac OS X: in version 10.0 and later in QuickTime.framework * CarbonLib: in CarbonLib 1.0 and later * Non-Carbon CFM: in QuickTimeLib 2.5 and later * Windows: in qtmlClient.lib 3.0 and later */ extern ComponentResult SGSetDataProc( SeqGrabComponent s, SGDataUPP proc, long refCon) AVAILABLE_MAC_OS_X_VERSION_10_0_AND_LATER; C'est grave docteur ? Ce n'est pas le malware c'est juste un import de bibliothèque qui ont en signature les structures C misent en cause dans la faille. -------------------- MacBook Pro 15" TB
|
|
|
19 Jan 2017, 09:25
Message
#7
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 2 083 Inscrit : 7 Mar 2005 Lieu : Brabant wallon, Belgique Membre no 34 620 |
Le logiciel qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, … tente d'accéder à la webcam. J'ai occulté celle de mon iMac depuis belle lurette, vu que je ne l'utilise de toute façon pas. -------------------- MacBook Pro 16 M1Pro | Mac Mini M1 | utilisateur Apple (IIgs puis Macintosh) depuis 1988.
Been There, Done That / Think Different / Our margin: 30%... |
|
|
19 Jan 2017, 10:18
Message
#8
|
|
Adepte de Macbidouille Groupe : Membres Messages : 128 Inscrit : 15 Apr 2005 Membre no 37 185 |
Le logiciel qui a été découvert sur des machines appartenant à des chercheurs du monde biomédical, … tente d'accéder à la webcam. J'ai occulté celle de mon iMac depuis belle lurette, vu que je ne l'utilise de toute façon pas. De ma part j'utilise Micro Snitch pour surveiller cette activité. |
|
|
19 Jan 2017, 12:30
Message
#9
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 427 Inscrit : 12 Jun 2006 Membre no 62 836 |
Et sur 10.6.8 quelqu'un a-t-il une soluce pour vérifier ? (malwarebytes ne fonctionne pas dessus)
Merci d'avance -------------------- graphisme édition illustration web design
1 mètre 80, 70 kg, scenic 1 1997 147 000 km, cuisinière à gaz feux et four brandt alliance allumage manuel, keenwood major classic 2L, gilette fusion power avec pile, stylo bic pack éco 25 pièces, chaussettes calvin klein sur vente privée, biscuits chocolat au lait "mention bien" |
|
|
19 Jan 2017, 13:27
Message
#10
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 894 Inscrit : 24 Apr 2003 Lieu : Depuis chez lui Membre no 7 276 |
L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly.
-------------------- « Ayez confiance, je sais ce que je fais. »
|
|
|
19 Jan 2017, 14:04
Message
#11
|
|
BIDOUILLE Guru Groupe : Admin Messages : 55 342 Inscrit : 14 Jan 2001 Lieu : Paris Membre no 3 |
L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly. Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X -------------------- C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
|
|
|
19 Jan 2017, 14:36
Message
#12
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 4 894 Inscrit : 24 Apr 2003 Lieu : Depuis chez lui Membre no 7 276 |
Hmmm... Je sais pas, moi, mais si j'apprends qu'il y a un malware en circulation, même archaïque et confidentiel, ça m'intéresse également de savoir si je suis protégé ou pas.
-------------------- « Ayez confiance, je sais ce que je fais. »
|
|
|
19 Jan 2017, 14:38
Message
#13
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly. Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination: > l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence > l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total. et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle... Ce message a été modifié par raoulito - 19 Jan 2017, 14:39. -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
19 Jan 2017, 15:47
Message
#14
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 101 Inscrit : 19 Oct 2005 Lieu : Presqu'ile de Rhuys Membre no 48 216 |
L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly. Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination: > l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence > l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total. et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle... Clamxav ne semble pas être trés efficace, pourquoi ne pas passer à Avast, Avira ou BitDefender? Source -------------------- John Stone
Utilisateur de Mac depuis 1989 et d'Apple II depuis 1983, iPhone depuis Dec 2016 Fender Strat Mex / Ovation 1861 US / Martin & Co LX1E / Yamaha G-231 / Epiphone LesPaul Classic Yamaha THR10 / DigiTech RP155 / DigiTech JamMan Stereo / Evolution eKeys 49 / Trio band Creator MBA 2021 / iPhone 14 Pro 2023 / AirPods Pro / Apple TV 4K / iPad 2019 / HomePod mini / AppleWatch 8 |
|
|
19 Jan 2017, 17:13
Message
#15
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 010 Inscrit : 24 Jan 2014 Lieu : La Vienne Membre no 189 026 |
L'article de Malwarebytes précise que le malware est déjà pris en charge par OS X/MacOS, certainement via XProtect, sous le nom de FruitFly. Je grave dans le marbre le jour où tu auras suggéré d'avoir un antivirus sous OS X perso j'ai toujours un AV sur mes mac, mais pas le meme suivant leur destination: > l'ordi portable, qui passe dans pas mal de mains à la maison et est susceptible d'etre branché dehors n'importe où est avec avast en permanence > l'ordi de travail, sur le bureau, c'est Clamxav une fois par mois en scan total. et donc Xprotect par défaut, mais comme j'en ignore l'efficacité réelle... Clamxav ne semble pas être trés efficace, pourquoi ne pas passer à Avast, Avira ou BitDefender? Source mmmhmmm effectivmeent.. à réfléchir tiens... -------------------- ——
Çà c'est ma création, un podcast associatif racontant une histoire de SF : http://reduniverse.fr La plus grande saga galactique jamais racontée en podcast :) Tout homme qui dirige, qui fait quelque chose, a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire et surtout la grande armée des gens d'autant plus sévères qu'ils ne font rien du tout. JULES CLARETIE |
|
|
19 Jan 2017, 17:35
Message
#16
|
|
Macbidouilleur de vermeil ! Groupe : Membres Messages : 1 444 Inscrit : 30 Apr 2004 Membre no 18 255 |
De ma part j'utilise Micro Snitch pour surveiller cette activité. ou en gratuit "OverSight"
-------------------- - Mac mini 2018 I7 16Go SSD 1To - Sonoma 14.2.1
- MBP Fin 2013 (11,3) I7 2,6Ghz 16Go SSD 240Go - Sonoma 14.2.1 "OpenCore Legacy Patcher" (SSD 1To défectueux - batterie gonflée (13 cyles)=devis Apple 1700€ environ * MAJ: MBP ressuscité avec: SSD 240Go & batterie Ifixit changé personnellement=210€ environ |
|
|
19 Jan 2017, 20:21
Message
#17
|
|
Macbidouilleur d'Or ! Groupe : Membres Messages : 7 244 Inscrit : 26 Jan 2004 Membre no 13 782 |
-------------------- JE SUIS CHARLIE mais je suis toujours amateur d'andouillettes AAAAA.
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. (J.Rouxel) |
|
|
Guest_Yoskiz_* |
20 Jan 2017, 09:45
Message
#18
|
Guests |
Hello,
En utilisant LittleSnitch 3 cela peut être un bon moyen de détecter une connexion sortante non autorisée et donc de détecter ce malware. |
|
|
23 Jan 2017, 18:49
Message
#19
|
|
Adepte de Macbidouille Groupe : Membres Messages : 233 Inscrit : 5 Mar 2003 Lieu : Bordeaux Membre no 6 528 |
Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur.
Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible. Par conséquent, Malwarebytes part à la poubelle pour ma part. |
|
|
30 Jan 2017, 10:17
Message
#20
|
|
Adepte de Macbidouille Groupe : Membres Messages : 84 Inscrit : 18 Sep 2002 Lieu : lausanne Membre no 3 555 |
Et sur 10.6.8 quelqu'un a-t-il une soluce pour vérifier ? (malwarebytes ne fonctionne pas dessus) Merci d'avance https://forums.malwarebytes.com/topic/17782...-mac-os-x-1075/ https://data-cdn.mbamupdates.com/web/MBAM-Mac-1.0.2.8.dmg ciao, n Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur. Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible. Par conséquent, Malwarebytes part à la poubelle pour ma part. as-tu un autre anti-malware a conseiller? Merci ciao, n -------------------- MacBook Pro 15" | yamaha maple custom | panforte di siena | panettone marnin
Membre du club des AIPBP (Anciens Inscrits Pas Beaucoup de Posts) Voir la liste |
|
|
30 Jan 2017, 11:50
Message
#21
|
|
Macbidouilleur de bronze ! Groupe : Membres Messages : 403 Inscrit : 29 Aug 2006 Lieu : France Membre no 66 917 |
Attention, la mise à jour de Malwarebytes implique l'installation obligatoire d'un "utilitaire". Cette installation vous oblige à donner votre mot de passe utilisateur. Auparavant on pouvait refuser d'installer "l'utilitaire' et le scan fonctionnait malgré tout. Après la mise à jour, c'est impossible. Par conséquent, Malwarebytes part à la poubelle pour ma part. Bonjour, en quoi consiste cet utilitaire ? Que fait-il ? Il demande un mot de passe administrateur ou celui de l'utilisateur courant ? Je viens de refuser la mise à jour, mais j'hésite à m'en séparer complètement. -------------------- Quelques très vieux Mac stockés ici et là.
Et enfin un ordi moderne… sous Linux. |
|
|
Nous sommes le : 23rd April 2024 - 22:29 |