IPB

Bienvenue invité ( Connexion | Inscription )

> De nouveaux chevaux de Troie ont été découverts, Réactions à la publication du 30/09/2013
Options
Lionel
posté 30 Sep 2013, 05:06
Message #1


BIDOUILLE Guru
*****

Groupe : Admin
Messages : 55 527
Inscrit : 14 Jan 2001
Lieu : Paris
Membre no 3
Des chercheurs en sécurité ont découvert une nouvelle vague d'attaque par Chevaux de Troie visant aussi bien les utilisateurs de Windows que d'OS X.






Sous OS X 3 applications ressemblant à des produits commerciaux ont été découvertes. Lors de leur premier lancement elle font les choses suivantes:



  • Elles installent dans le dossier utilisateur une application invisible "Launchd.app",
  • elles inhibent l'affichage de cet exécutable dans le dock et dans la bascule logiciel,
  • elles nettoient le code de l'application originelle afin d'être moins détectables.


Ensuite, cet exécutable launchd.app va se connecter au réseau et attendre des ordres sachant qu'il contient un système capable de capturer et de transmettre toutes les frappes clavier. Le code est 64 bits et n'est fonctionnel que sous OS X 10.7 et 10.8.
Cette attaque n'est pas nouvelle, ce sont les vecteurs qui le sont et qui ont permis de recycler des systèmes d'attaque antérieurs.
Lien vers le billet original


--------------------
C'est parce que la vitesse de la lumière est plus grande que celle du son que tant de gens paraissent brillants avant d'avoir l'air con
Go to the top of the page
 
+Quote Post
 
 Start new topic
Réponse(s)
macgreg2005
posté 30 Sep 2013, 09:08
Message #2


Adepte de Macbidouille
*

Groupe : Membres
Messages : 152
Inscrit : 5 Apr 2005
Membre no 36 584
bonjour.
Est ce que quelqu'un peut me dire a quoi correspond ces valeurs nommées SHA1 dans les captures de l'article s'il vous plait?
si on rend le fichiers visibles grace à Onyx par exemple et que l'on supprime "LauncHD.app" normalement invisible, Est ce que cela suffirait à se debarrasser du cheval de Troie?


--------------------
iMac intel 24'' core 2 Duo 2,4 gHz (Mid 2007) avec 2,667 Go de ram: Mac X.6.8
iPad 1ère génération
Canon EOS 50d
PS3 slim
Go to the top of the page
 
+Quote Post
reversi
posté 30 Sep 2013, 09:30
Message #3


Macbidouilleur de vermeil !
****

Groupe : Membres
Messages : 941
Inscrit : 2 Jun 2002
Lieu : France
Membre no 2 604
Citation (macgreg2005 @ 30 Sep 2013, 10:08) *
bonjour.
Est ce que quelqu'un peut me dire a quoi correspond ces valeurs nommées SHA1 dans les captures de l'article s'il vous plait?


Probablement la signature SHA1 de l'archive zip obtenue quand on fait:

openssl sha1 monbeaufichieramoiquejaietquetuaspeutetremaislemienilestplusmieuxdabord.txt

Citation (macgreg2005 @ 30 Sep 2013, 10:08) *
si on rend le fichiers visibles grace à Onyx par exemple et que l'on supprime "LauncHD.app" normalement invisible, Est ce que cela suffirait à se debarrasser du cheval de Troie?


Si tu n'as pas installé récemment une de ces applications, tu n'as aucune chance d'avoir été infecté à la base.

Sinon, non, cela ne devrait a priori pas tout virer car il doit bien y avoir un mécanisme (Login Items ou agents launchd) qui a été utilisé pour lancer automatiquement l'application par la suite. Donc regarder aussi dans:

Préférences Systèmes > Comptes Utilisateurs > Moi > Login Items

et dans

/Users/Moi/Library/LaunchAgents/

pour voir s'il n'y a pas un intrus.

Ce message a été modifié par reversi - 30 Sep 2013, 09:41.
Go to the top of the page
 
+Quote Post

Les messages de ce sujet
- Lionel   De nouveaux chevaux de Troie ont été découverts   30 Sep 2013, 05:06
- - ericb2   Je n'aurai jamais plus récent que 10.6, mais ...   30 Sep 2013, 06:37
- - Lionel   Oui, launchd existe tu dois même en avoir deux da...   30 Sep 2013, 06:45
- - Zekje   sans tomber dans l parano, comment peut t o detect...   30 Sep 2013, 07:43
- - apple noxe   J'ai 6 processus dans le moniteur d'activi...   30 Sep 2013, 07:48
|- - reversi   Citation (apple noxe @ 30 Sep 2013, 08:48...   30 Sep 2013, 09:07
- - Akirami   Je ne sais pas si ESET Rootkit Detector prend en c...   30 Sep 2013, 08:20
- - roland-tanguy   Si en plus les icônes sont jolies, ça va être d...   30 Sep 2013, 08:26
- - macgreg2005   bonjour. Est ce que quelqu'un peut me dire a q...   30 Sep 2013, 09:08
|- - reversi   Citation (macgreg2005 @ 30 Sep 2013, 10:0...   30 Sep 2013, 09:30
- - divoli   Il y a quand même une question que je me pose. So...   30 Sep 2013, 09:43
|- - reversi   Citation (divoli @ 30 Sep 2013, 10:43) Il...   30 Sep 2013, 10:24
|- - divoli   Citation (reversi @ 30 Sep 2013, 11:24) C...   1 Oct 2013, 10:05
|- - reversi   Citation (divoli @ 1 Oct 2013, 11:05) Cit...   1 Oct 2013, 16:16
- - Le Fée Vert   Citation (Lionel @ 30 Sep 2013, 06:06) So...   30 Sep 2013, 09:52
|- - r@net54   Citation (Le Fée Vert @ 30 Sep 2013, 10...   30 Sep 2013, 16:40
|- - reversi   Citation (r@net54 @ 30 Sep 2013, 17:40) C...   1 Oct 2013, 09:45
- - noenoeil   Il y a 3 jours j'ai téléchargé et lancé Im...   30 Sep 2013, 10:26
- - joubex   Je me demande deux choses: Est ce que l'appli ...   30 Sep 2013, 17:06

« Sujets plus anciens · Macbidouille Articles & News : Vos Réactions · Sujets plus récents »
 

Reply to this topicStart new topic
3 utilisateur(s) sur ce sujet (3 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 

Modes d'affichage: Passer au mode : Standard · Passer au mode : Linéaire+ · Arborescent

Suivre ce sujet · Envoyer ce sujet · Imprimer ce sujet · S'abonner à ce forum

Nous sommes le : 31st July 2025 - 11:46
Powered By IP.Board 2.3.6 © 2025  IPS, Inc.