Un cheval de Troie désactive les systèmes de protection de Mac OS X, Réactions à la publication du 20/10/2011

[Lionel]

On pensait que le système de protection intégré par Apple sous Mac OS X pour contrer la venue de plus en plus fréquente de chevaux de Troie sur notre plateforme permettrait d'en contenir les assauts, ce sera plus compliqué que prévu.
F-Secure a en effet découvert une nouvelle variante de l'un d'eux, capable de désactiver la protection mise en place par Apple. Trojan-Downloader:OSX/Flashback.C est en effet capable non seulement d'aller étudier la Plist contenant les signatures virales, mais aussi de forcer le daemon, l'applicatif gérant la protection, à quitter, l'empêchant donc de faire de nouvelles mises à jour.

On est donc monté d'un cran dans cette guerre et Apple va de nouveau devoir réagir pour ne pas être pris en défaut. Il existe plusieurs moyens de le faire. Très rapidement, Apple pourrait simplement modifier le nom de son daemon et de ses fichiers plist, de quoi gagner quelques jours. Ensuite, ils devront trouver le moyen de bloquer toute intervention au niveau de ce processus, ce qui sera très compliqué, à moins d'aller le cacher à un niveau tellement bas que toute intervention dessus bloque le fonctionnement de la machine.

On notera quand même que la manière dont procède le cheval de Troie est triviale:

1. Il va lire la Plist de XProtectUpdater (le processus de mise à jour des définitions d'Apple)
2. Il force ce process à quitter
3. Il vide la fichier binaire en le remplaçant par un espace
4. il écrase la Plist

Ces 4 étapes compliquent notablement toute possibilité de le relancer autrement qu'en le réinstallant, ce qui n'est actuellement pas prévu à moins de réinstaller Mac OS X.
Par Lionel

[waxvador]

.

Ce message a été modifié par waxvador - 20 Oct 2011, 06:01.

[BdeHOGUES]

Ben alors ils dorment les Bisounours pour nous bassiner que sur Mac, il n'y a aucun souci à avoir...

J'attends les kilomètres de démonstrations qui vont suivre avec délectation

[divoli]

Si vous devez installer Flash ou le mettre à jour, faite-le exclusivement depuis le site d'Adobe, refusez toute tentative d'installation qui vient d'on ne sait où, et réfléchissez bien avant d'entrer votre mot de passe.

Ben alors ils dorment les Bisounours pour nous bassiner que sur Mac, il n'y a aucun souci à avoir...

J'attends les kilomètres de démonstrations qui vont suivre avec délectation

On risque d'avoir droit aux traditionnels condescendants qui vont nous raconter que le problème se situe entre la chaise et le clavier, et qu'Apple ne peut rien faire pour bon nombre de ses clients s'ils sont aussi c*ns.

Bon, je résume, mais en gros ça risque d'être ça.

[SartMatt]

Si vous devez installer Flash ou le mettre à jour, faite-le exclusivement depuis le site d'Adobe, refusez toute tentative d'installation qui vient d'on ne sait où, et réfléchissez bien avant d'entrer votre mot de passe.

Et c'est valable aussi pour le reste, pas que pour Flash.

[Lollesque]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

[divoli]

Si vous devez installer Flash ou le mettre à jour, faite-le exclusivement depuis le site d'Adobe, refusez toute tentative d'installation qui vient d'on ne sait où, et réfléchissez bien avant d'entrer votre mot de passe.

Et c'est valable aussi pour le reste, pas que pour Flash.

Absolument.

Là je prenais l'exemple de Flash parce que la cochonnerie en question fait croire à l'utilisateur qu'il s'agit de l'installation du véritable Flash d'Adobe.

[SartMatt]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

Hélas, ça pourrait aussi servir d'argument à Apple pour n'autoriser l'installation d'application que via le MAS...

[divoli]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

Pas vraiment, dans la mesure où le Mac App Store n'empêche pas d'installer des applications par d'autres biais, et donc de piéger les utilisateurs les moins informés.

Ce qui est à craindre à terme, par contre, c'est que Apple se serve de ce prétexte pour empêcher toute installation d'une application qui ne viendrait pas du Mac App Store, en modifiant Mac OS X en conséquence.

Edit: Grillé par SartMatt.

Ce message a été modifié par divoli - 20 Oct 2011, 00:09.

[Lollesque]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

Hélas, ça pourrait aussi servir d'argument à Apple pour n'autoriser l'installation d'application que via le MAS...

En pratique, ça veut dire un verrouillage complet à la iOs, et je pense que ce jour là, beaucoup quitteront le navire.

Edit: @Divoli, je voulais dire qu'utiliser le MAS évite de se retrouver contaminé, et donc le privilégier diminue les risques

Ce message a été modifié par Lollesque - 20 Oct 2011, 00:12.

[divoli]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

Hélas, ça pourrait aussi servir d'argument à Apple pour n'autoriser l'installation d'application que via le MAS...

En pratique, ça veut dire un verrouillage complet à la iOs, et je pense que ce jour là, beaucoup quitteront le navire.

Voilà.

Edit: @Divoli, je voulais dire qu'utiliser le MAS évite de se retrouver contaminé, et donc le privilégier diminue les risques

Oui, j'ai bien compris. Mais MAS ou pas MAS, si les gens les moins à l'aise avec l'informatique voient que d'un coup une installation leur est spontanément proposée, il y a de fortes probabilités qu'ils cliquent dessus.

Evidemment, ceux qui sont pleinement conscients de cette problématique ne se feront pas avoir.

Ce risque sera quasiment nul lorsque Apple bloquera toute possibilité d'installer une application en dehors du MAS. Cela serait préférable que Apple laisse au utilisateurs les plus chevronnées une option pour désactiver cette obligation, à l'instar de ce qui se passe sur les terminaux Android.
Mais si Apple adopte finalement le même schéma que sur iOS, là évidement c'est cuit, ça sera MAS obligatoire pour tout le monde.

[lewis82]

C'est une grosse gageure à faire pour eux, je suis sûr que des employés d'Apple se promènent sur les forums et ont remarqué l'abondance de gens qui affirment que si OS X devenait comme iOS, ils partiraient. Et le Mac est très profitable pour eux, je n'ai pas l'impression qu'ils souhaiteraient voir les chiffres de vente baisser.

[zero]

Le genre de news qui me fait penser que le Mac App store va être de plus en plus utilisé (je ne l'ai moi même jamais encore utilisé, mais je sens que je vais changer mes habitudes)

Hélas, ça pourrait aussi servir d'argument à Apple pour n'autoriser l'installation d'application que via le MAS...

D'ailleurs, je me demande si tout ça n'est pas calculé.

[VSD]

Voilà ce qu'apporte les Intel ... !!!
Le soit disant "meilleur système" au monde se fait couil....ner comme l'est un PC !
A système de mer... problème en perspective !!!
Les visionnaires voient trop loin ! feraient bien de regarder devant leur porte !

[Lionel]

Voilà ce qu'apporte les Intel ... !!!
Le soit disant "meilleur système" au monde se fait couil....ner comme l'est un PC !
A système de mer... problème en perspective !!!
Les visionnaires voient trop loin ! feraient bien de regarder devant leur porte !

Quel rapport avec Intel, le code est transposable au PPC. C'est le succès d'Apple qui en est la cause, et la base grandissante de Mac.

[polpaulin]

concrètement quel outil de protection efficace il faut installer ?

[AlbertRaccoon]

concrètement quel outil de protection efficace il faut installer ?

Windows...

[grogeek]

Quand on vous disait que cela allait arriver avec une part de marché plus importante....

oyé oyé, éditeurs d'anti-trucs, à vos plans marketing, les nouveaux consommateurs sont arrivés et Apple, avec sa vitesse de réaction digne d'un Suisse vous laisse place libre

[chnoub]

bah voila.... apple est pas assez cher.... trop de part de marché..... cheval de Troye......

[Lionel]

concrètement quel outil de protection efficace il faut installer ?

Le moins coûteux, jugeotte 2.0 ce programme qui fait réfléchir avant d'installer des choses aux sources incertaines et rentrer son MDP admin.
Ensuite, et pour ceux qui ne supportent pas cette configuration, un antivirus. Oups, j'ai prononcé le mot, mais on y arrive doucement.

[Beaubarre]

Si vous devez installer Flash ou le mettre à jour, faite-le exclusivement depuis le site d'Adobe, refusez toute tentative d'installation qui vient d'on ne sait où, et réfléchissez bien avant d'entrer votre mot de passe.

Ce n'est pas aussi facile, pour ma part cela faisait longtemps que je n'avais pas installé flash (jamais puisqu'il était installé d'origine sur tiger que j'ai upgradé jusqu'a Snow), et comme je m'étais fait hacker, et que je me souvenais confusément qu'il fallait internet pour installer flash, j'ai cherché un dmg offline et je suis tombé pile sur ce cheval de troie (heureusement une des 1ères versions).

Et après je croyais que l'installateur officiel était le virus puisqu'il n'avait pas la même tête qu'un installeur Mac normal !

Ya vraiment un problème avec le process d'installation et d'update du flash, le nom de leur .dmg non explicite (install_flash.dmg) et sans num de version sans lien direct mais un javascript qui choisit pour vous (super si vous avez un hack js sur vos extensions firefox), l'obligation (?) d'internet lors de l'installation (super dans mon cas ou je m'étais fait hacker le dns - ce qui en passant donne zéro sécurité en passant par le site d'adobe, on devrait pouvoir se connecter en https), et leur numéros de version illisibles.

Avec Perian par exemple c'est plus clair, num de version 1.1 ou 1.2, et c'est le nom du .dmg, comme normalement les cheval de troie ont toujours un temps de retard on peut facilement checker le nom et la taille du .dmg sur plusieurs sites avant de procéder à une installation.

Enfin pourquoi est-ce que flash nécessite les droits d'admin, il pourrait très bien proposer une installation user comme périan quitte à réduire les fonctionnalités comme la webcam ou le micro ?

[MacGrizzly]

[...] C est en effet capable non seulement d'aller étudier la Plist contenant les signatures virales, mais aussi de forcer le daemon, l'applicatif gérant la protection, à quitter [...]

Le fichier n'est même pas crypté ? L'applicatif n'est pas protégé ? Il me semblait qu'une des base de la sécurité était de protéger l'intégrité des systèmes de sécurité. Est-ce de l'amateurisme, du jemenfoutisme, de la pression intra-Apple ? En tout cas c'est un exemple à analyser et à présenter en cours aux étudiants pour montrer ce qu'il ne faut pas faire.

[Lionel]

[...] C est en effet capable non seulement d'aller étudier la Plist contenant les signatures virales, mais aussi de forcer le daemon, l'applicatif gérant la protection, à quitter [...]

Le fichier n'est même pas crypté ? L'applicatif n'est pas protégé ? Il me semblait qu'une des base de la sécurité était de protéger l'intégrité des systèmes de sécurité. Est-ce de l'amateurisme, du jemenfoutisme, de la pression intra-Apple ? En tout cas c'est un exemple à analyser et à présenter en cours aux étudiants pour montrer ce qu'il ne faut pas faire.

Apple a sorti ce système de protection à l'arrache pour faire face aux critiques. Il a été développé a minima.
Mais de toute façon, si les antivirus étaient totalement efficaces, il n'y aurait plus de menaces depuis très longtemps...

[AlbertRaccoon]

Apple a sorti ce système de protection à l'arrache pour faire face aux critiques. Il a été développé a minima.

Je suis quand même étonné qu'Apple ait pu être prise au dépourvu.
L'histoire de cette société nous a montré qu'elle savait anticiper les changements nécessaires, ne serait-ce que le passage sous Intel prévu (ou plutôt envisagé) depuis les premières versions de MacOS X.
Se seraient-ils eux-mêmes convaincus de la supériorité de leur système au point de négliger à ce point la sécurité ? Ça ne colle pas...
Autant je ne suis pas fan des théories conspirationnistes (il est ridicule de penser qu'Apple puissent eux-mêmes développer ces malwares), autant je pense que la faiblesse de la réponse apportée est liée à la volonté d'imposer à terme le Mac App Store.

Ce message a été modifié par AlbertRaccoon - 20 Oct 2011, 07:03.

[polpaulin]

concrètement quel outil de protection efficace il faut installer ?

Le moins coûteux, jugeotte 2.0 ce programme qui fait réfléchir avant d'installer des choses aux sources incertaines et rentrer son MDP admin.
Ensuite, et pour ceux qui ne supportent pas cette configuration, un antivirus. Oups, j'ai prononcé le mot, mais on y arrive doucement.

quel outil il faut point barre ? pourquoi faire des réponses pareilles qui servent a rien sinon pousser a la polemique

je pense que la faiblesse de la réponse apportée est liée à la volonté d'imposer à terme le Mac App Store.

en ce cas moi ca sera vite vu --> windows 8 si c'est pour se faire prendre en otage par mac qui ressemble de moins a moins a MAC


Ce message a été modifié par polpaulin - 20 Oct 2011, 08:08.

[bow8]

bonjour, il semblerait que j'ai tous les symptôme de ce cheval, .... (poney jspr ) des freezz écran, écran noir restart your computer , demande de mdp abusif , ( session qui se désactive ) ajout de groupe dans compte, ouverture de mes pref partage ect....

il semblerait qu'il ne soit pas possible via appzapper par exemple de désinstaller tous ce b....del ?

Merci....

en 15 ans de mac je n'ai jamais eu autant de soucis que depuis lion...

[SartMatt]

Ya vraiment un problème avec le process d'installation et d'update du flash, le nom de leur .dmg non explicite (install_flash.dmg) et sans num de version sans lien direct mais un javascript qui choisit pour vous (super si vous avez un hack js sur vos extensions firefox), l'obligation (?) d'internet lors de l'installation (super dans mon cas ou je m'étais fait hacker le dns - ce qui en passant donne zéro sécurité en passant par le site d'adobe, on devrait pouvoir se connecter en https), et leur numéros de version illisibles.

De toute façon, à partir du moment où une machine est infectée, tu ne peux plus faire confiance à RIEN de ce qui sort ou qui rentre dans la machine. Avoir un lien direct vers le fichier, ça t'avance à quoi ? Si ton Firefox est corrompu, même avec un lien direct, ça l'empêchera pas de télécharger en réalité autre chose que ce qu'il te dis qu'il télécharge...
Même le HTTPS, face à un navigateur potentiellement corrompu, ça ne sert plus à rien : y a pas grand chose à modifier dans Firefox pour qu'il t'affiche l'icône "site sécurisé" sur un site qui ne l'est pas...
Quand au besoin d'Internet lors de l'installation, c'est justement une sécurité supplémentaire : ça empêche de créer un "vrai faux" installeur de Flash, qui installerait une version infectée du vrai Flash (enfin ça l'empêche pas complètement, mais ça le complique, puisqu'il faudrait produire un installer modifié qui infecterait les fichiers téléchargés chez Adobe).

Donc quand ta machine est infectée, la priorité est AVANT TOUT AUTRE CHOSE de la désinfecter. Après tu peux commencer à réinstaller des trucs.

Et pour la désinfection, si elle peut pas se faire à la main, il faut autant que possible récupérer les outils nécessaires sur une autre machine et les exécuter sur la machine infectée depuis un système sain (donc en bootant par exemple sur un DD externe pour nettoyer le DD interne) ou à défaut, en exécutant l'outil depuis un média en lecture seule (de préférence, une lecture seule "physique", donc un carte SD verrouillée ou un disque optique, pas juste un disque dur avec désactivation des droits en écriture). Ainsi on est sûr que l'outil lui même n'a pas été corrompu (par contre, si on passe pas par un système sain pour le ménage, il reste le risque que le malware intercepte l'exécution de l'outil, par exemple en s'ajoutant à sa liste d'exclusion).

Et le Mac est très profitable pour eux, je n'ai pas l'impression qu'ils souhaiteraient voir les chiffres de vente baisser.

De moins en moins, de moins en moins...

Depuis fin 2008, la part du Mac dans le CA d'Apple diminue à chaque trimestre : http://static.macgeneration.com/img/2011/7...0720-151139.jpg

Et quand on voit que sur la même période, le bénéfice d'Apple a augmenté beaucoup plus vite que le CA, on peut se demander si la rentabilité n'est pas plus grande sur les produits qui remplacement petit à petit le Mac...

Voilà ce qu'apporte les Intel ... !!!
Le soit disant "meilleur système" au monde se fait couil....ner comme l'est un PC !
A système de mer... problème en perspective !!!
Les visionnaires voient trop loin ! feraient bien de regarder devant leur porte !

Quel rapport avec Intel, le code est transposable au PPC. C'est le succès d'Apple qui en est la cause, et la base grandissante de Mac.

Mais si, voyons, le rapport est évident : sans le passage à Intel, les Mac n'auraient pas le succès qu'ils ont aujourd'hui. Tout est de la faute d'Intel, c'est en aucun cas dû a un certain laxisme d'Apple niveau sécurité ^^

[bow8]

Voici comment s’en débarrasser :
Supprimer l’entrée suivante :
<key>LSEnvironment</key><dict><key>DYLD_INSERT_LIBRARIES</key>
<string>%path_of_detected_file_from_step_1%</string></dict>
Dans les fichiers suivants :
/Applications/Safari.app/Contents/Info.plist
/Applications/Firefox.app/Contents/Info.plist


source : http://www.macsystem.fr/5393/un-trojan-sur-mac-os-x/

[jeriqo]

Quand on vous disait que cela allait arriver avec une part de marché plus importante....

oyé oyé, éditeurs d'anti-trucs, à vos plans marketing, les nouveaux consommateurs sont arrivés et Apple, avec sa vitesse de réaction digne d'un Suisse vous laisse place libre

Un cheval de troie prend environ 15 minutes à programmer, et n'utilise aucune faille du système, seulement de l'utilisateur.
C'était évident que ça allait arriver.
Ce sont les virus que l'on attend toujours sur Mac, ceux du genre qui s'installent aussitôt votre ordinateur relié à Internet.

[grogeek]

Quand on vous disait que cela allait arriver avec une part de marché plus importante....

oyé oyé, éditeurs d'anti-trucs, à vos plans marketing, les nouveaux consommateurs sont arrivés et Apple, avec sa vitesse de réaction digne d'un Suisse vous laisse place libre

Un cheval de troie prend environ 15 minutes à programmer, et n'utilise aucune faille du système, seulement de l'utilisateur.
C'était évident que ça allait arriver.
Ce sont les virus que l'on attend toujours sur Mac, ceux du genre qui s'installent aussitôt votre ordinateur relié à Internet.

tu attends ? t'inquiète, cela arrivera un jour ou l'autre.
Du reste les Virus pour Unix existent déjà tu sais.

http://www.f-secure.com/v-descs/bliss.shtml

Le but de tous ces trucs, c'est l'argent. Le jour ou la part de marché sera assez intéressante pour devenir rentable, tu n'auras plus besoin de les attendre, ils seront là.

Ce message a été modifié par grogeek - 20 Oct 2011, 09:05.