Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Lionel]

Source : Intego

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.
Basé sur la crédulité de certains, il va proposer une mise à jour permettant d'avoir accès à l'intégralité du site. Un fichier sous forme de .dmg sera alors téléchargé, et le mot de passe administrateur demandé.
En fait, le logiciel plutôt que d'installer quoique ce soit, va changer le DNS de la machine.
Une fois le DNS changé, il sera possible aux pirates d'orienter les victimes vers de faux sites permettant de réaliser des phishings aussi parfaits que possible. Ceci peut toucher des comptes Paypal, Ebay ou encore associés à des banques.
Il installe également une routine vérifiant régulièrement que le DNS n'a pas été entre temps modifié et veille à remettre le malicieux.

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.




Je sais que c'est un sujet toujours ultra sensible dans la communauté Mac. Pour une fois, traitez le froidement et sans excitation. Merci d'avance.

[schlum]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

[trouspinette]

Quelqu'un a un lien vers ce virus ? J'aimerais bien le tester
1 - Si on est en DHCP et que c'est le routeur qui fournit les DNS, ça fonctionne comment ?
2 - Il me semble que les FAI n'autorisent pas de passer par un DNS différent du leur, si ?

Même si le routeur est configuré avec des DNS du provider, on peut by-passer ceux du fournisseur :

CODE

[BobDenard:~] bob% dig www.macbdidouille.com

; <<>> DiG 9.3.4 <<>> www.macbdidouille.com
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 50370
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbdidouille.com.         IN      A

;; ANSWER SECTION:
www.macbdidouille.com.  0       IN      A       208.69.32.139

;; Query time: 214 msec
;; SERVER: 208.67.222.222#53(208.67.222.222)
;; WHEN: Wed Oct 31 20:46:57 2007
;; MSG SIZE  rcvd: 55

Je crois qu'il n'y a pas de règles établies sur le fait d'interroger un DNS différent du provider, et qui serait rejeté. Certains FAI ne font pas chier, d'autres peuvent adopter des comportements différents. Exemples :

1 - DNS Request sur un DNS Free, FAI Orange = rejeté

CODE

[BobDenard:~] bob% dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

2 - DNS Request sur un DNS ClubInternet, FAI Orange = accepté

CODE

[BobDenard:~] bob% dig @212.99.2.8 www.macbidouille.com

; <<>> DiG 9.3.4 <<>> @212.99.2.8 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: REFUSED, id: 38474
;; flags: qr rd; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;www.macbidouille.com.          IN      A

;; Query time: 62 msec
;; SERVER: 212.99.2.8#53(212.99.2.8)
;; WHEN: Wed Oct 31 20:50:48 2007
;; MSG SIZE  rcvd: 38

3 - DNS Request sur un DNS TELE2, FAI Orange = accepté

4 - DNS Request sur un DNS FREE, FAI Oleane Pro = rejeté

CODE

[root@spartacus35 ~]# dig @212.27.53.252 www.macbidouille.com

; <<>> DiG 9.3.3rc2 <<>> @212.27.53.252 www.macbidouille.com
; (1 server found)
;; global options:  printcmd
;; connection timed out; no servers could be reached

Visiblement, FREE doit être un vilain petit canard, ou alors FREE n'accepte que des requests de pool IP lui appartenant.

Le fait de taper dans des DNS différents peut aussi ne poser aucun soucis sur des request de type A ou PTR, mais foirer sur des MX (mail exhanger) : le l'ai déjà. rencontré.

Ciao.