Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Cappuccino]

N'a-t-on pas un moyen simple et visuel pour vérifier si on est atteint par ce "truc" ?

Il suffit de regarder ton compte en banque !

J'ai écrit un résumé de tout ce qui a été dit et découvert sur le blog de mon site. Il me reste encore a trouver comment on pourrait rétablir les serveurs DNS par défaut...

Avec un script ou application qui fait la même chose mais en sens inverse dans le dossier démarrer du Mac ?

Ce message a été modifié par Cappuccino - 3 Nov 2007, 15:38.

[ewok]

pourrait on virer tout les H.S. pour que les lecteurs futurs gagnent en lisibilite?

Tu as raison, je vire les derniers HS, et messieurs les modos, virer tous les futures HS, sans appel. Merci.

[Maconnect]

Avec un script ou application qui fait la même chose mais en sens inverse dans le dossier démarrer du Mac ?

Oui, mais pas besoin de le mettre dans démarrer, juste de le lancer une fois pour toute. Mais ce script doit modifier les DNS en utilisant scutil, or je ne sais pas comment on fait ça. Je sais comment on ajoute des DNS (en analysant le script du trojan) mais pas comment les enlever. Notez qu'on ne peut pas les enlever depuis les prefs système.

[schlum]

Je dirai que normalement pour modifier le DNS, il faut être root

t'es sûr?
je suis connecté en tant qu'admin sur mon mac, je peux aller éditer les préférences système et modifier les réglages DNS, sans être connecté en root

Normal, ça passe par un exe avec le setuid...

[Bombseb]

Intego a lancé une alerte au sujet d'un cheval de Troie. Il a été découvert sur certains sites pornographiques.

Et pourquoi on ne les fou pas en taule les responsable de ses sites ??? je ne comprends pas !
Pareil pour ses dns pirate ?? pourquoi ??

le responsable d'un site ou d'un dns ca doit se trouver assez facilement non ? c'est pas avec un whois qu'on fait ca ?

[Spider Jerusalem]

Souvent ils sont hébergés dans des pays peu regardant sur le lois numériques

[tiny]hey il manque une reflexion sur le topic mots à maux dans ce topic[/tiny]

[oaao]

bonjour
pour enlever le cheval, est ce que Norton ou un logiciel de ce type suffit?ou il faut tout enlever de l ordi et tout reinstaller? c est quoi le plus simple?
merci

[schlum]

Il suffit de lire ce sujet où c'est expliqué au moins 3 ou 4 fois...

[toxi]

Salut,

La nouvelle est pas fraîche, mais le trojen fait des petits

http://www.vnunet.fr/fr/news/2007/11/09/ch..._se_developpent

Pour ce qui est de la sécurité quant au fait qu'il faut mettre un mot de passe administrateur pour que le code s'exécute, elle est toute relative. La plupart des utilisateurs cliquent "OK" ou donnent leur mot de passe quand le système le leur demande. La fsensibilisation du grand public est bien trop faible dans ce domaine...

[Dadick]

Question aux modérateurs :
Vous prenez quoi pour vous calmer ?
Personnellement, dans ce genre de cas, c'est Valium, Prozac…

[Frank White]

juste une ch'tite question :

j'ai lu les pages de ce thread et celle de la news macplus : http://www.macplus.net/magplus/depeche-158...er-osx-rsplug-a

qui explique qu'il faut recherche la présence du fichier plugins.settings dansplugins.settings dans /Bibliothèque/Internet Plug-Ins
je suis sous OS X 10.4.10 et rien ce fichier ne figure pas dans plugins.settings dans /Bibliothèque/Internet Plug-Ins

puis-je en déduire par cette simple vérification que je n'ai pas récupéré ce cheval de troie ?

(je précise que je suis passé par le finder pour recherche un icône du fichier plugins.settings et pas par la console... Est-ce que ce fichier peut-être invisible et spotlight ne l'afficherait pas ?)

j'ai regardé dans préférences systèmes, tableau de bord (désolé, chuis un ancêtre des anciens OS :-) Réseau et sur l'onglet TCP/IP j'obtiens les mêmes infos que Jack the best : mon adresse IP reste la même (fixe), le sous-réseau idem, idem pour le retour (NetBarrier confirme les mêmes infos)

on doit être probablement tous les deux chez orange/wanadoo ou bien tu as piraté mon Mac ?
J'ajoute que dans serveurs DNS je n'ai rien d'inscrit

j'ai cru comprendre que cette info n'apparaîssait que sous OS X 10.5....?

j'ai tapé dans le terminal sudo crontab -l

et j'obtiens juste ça :

no crontab for root



Maintenant quelques remarques / questions :

chez moi, le tableau de bord "réseau" à le cadenas fermé. Est-ce que dans ce cas le cheval de troie demanderait successivement 2 fois le mot de passe : 1 fois lors de l'ouverture du dmg pour l'installation, une autre fois pour ouvrir et modifier le tableau de bord "réseau" ?

je n'ai que NetBarrier, or seul VirusBarrier peut détecter ce cheval de troie.
J'ai téléchargé la dernière demo en ligne de VirusBarrier (qui doit permettre encore comme l'indique toujours l'appli de vérifier (mais pas de réparer) la présence de virus en mode évaluation/demo). Et bin pour cette dernière mouture l'option évaluation ne fonctionne pas.
On ne peut donc pas scanner comme auparavant par une version trial de Virus Barrier pour s'avoir si on a un cheval de troie.

La tactique de ce cheval de troie peut très bien être utilisée dans d'autres applis qui demanderaient également de rentrer l'user lors de l'installation du soft/codec, plug-in, etc...

Il y a beaucoup de demos (jeux), freeware, shareware qui le font systématiquement...
On peut très bien imaginer la mouture d'un shareware dont le pack d'install serait remanié dans ce but...

D'ailleurs, souvent au cours d'une journée, je suis plusieurs fois amené (et pas forcément lors de l'installation de nouveaux softs) à rentrer à nouveau mon user. Je fais gaffe au circonstances dans lequel on me le demande. Parfois même, quand j'ai un doute, je fais une deconnection réseau via NetBarrier ou surveillance pendant quelques temps via la fonction anti-spyware...et pourtant je ne suis pas amateur des bourrelets de Britney Spears...
Bref, un sentiment de "sécurité" s'installe (="tiens c'est bien, on me demande systématiquement de vérifier que je suis bien ok en rentrant à nouveau mon pass") mais en fait je ne sais pas si c'est vraiment une bonne chose, car les meilleurs infiltrations ne sont elles pas celles qui tirent profit des failles de la psychologie humaine plutôt que de celle de l'OS ?
Qui peut par exemple dire être systématiquement vigileant au moment d'entrer son pass user ?

Enfin, quelques choses sont un peu bizarres dans Safari :
par défaut l'auto-montage des fichiers .dmg était coché dans ma fenêtre (je l'ai vite désactivé depuis)
Et lors d'un téléchargement d'un .exe, Safari prévient par contre : "attention vous êtes sûr le point de lancer un téléchargement d'un fichier .exe, l'autorisez-vous ?" - comme si a priori télécharger un .exe était forcément un virus (le téléchargement est d'ailleurs bloqué par Safari tant que l'on a pas répondu à cette "alerte")
Alors que le .dmg peut se télécharger tout seul et se retrouver sur le disque dur sans que Safari n'ait rien demandé au préalable.

Bref, d'un point de vue de la psychologie de l'utilisateur beta (dans tous les sens du terme) , je ne suis pas sûr que ce soit le top...

Enfin, j'ai vérifié un truc : sur l'iMac de ma môman, il n'y a pas de pass admin, et pourtant c'est le seul compte.
(elle avait peur d'oublier son passe. et pour elle, un pass c'est quand il y a plusieurs utilisateurs et/ou lorsque l'ordi est dans un lieu public ou au boulot)
et sans pass admin, j'imagine que le cheval de troie s'installait tout seul alors ? (je ne sais pas où surfe ma mère...)


Enfin, le truc qui m'étonne, c'est que si les pages sont ensuite redigées vers des faux-sites maquillés comme les vrais (la tactique du fishing quoi), on doit forcément, d'un point de vue visuel (faute d'orthographe, graphisme...) se rendre compte que le site n'est pas le vrai.
J'ai souvent reçu par email des fishing de banques (où je n'avais pas de compte d'ailleurs), faux emails de paypal etc... et leurs sites étaient très mal francisés...

Ce message a été modifié par Frank White - 30 Nov 2007, 10:24.

[schlum]

Alors, plusieurs choses...

- Attention, la présence ou non du faux plug-in, je ne m'y fierais plus... Depuis le temps il a sans doute eu le temps d'évoluer.
- De même pour le crontab root ; ça peut passer par launchd
- Ce machin ne modifie pas le tableau de bord réseau... Donner son mot de passe une fois suffit ; en plus, les scripts post-installation sont exécutés avec les droits root, donc tant que la session d'authentification n'est pas fermée, il peut faire ce qu'il veut.

Il y a beaucoup de demos (jeux), freeware, shareware qui le font systématiquement...
On peut très bien imaginer la mouture d'un shareware dont le pack d'install serait remanié dans ce but...

Oui... Il faut donc charger les versions sur des sites de confiance ; éviter le P2P et les sites douteux.

Qui peut par exemple dire être systématiquement vigileant au moment d'entrer son pass user ?

Moi... Surtout qu'il dit à chaque fois quelle application demande ce mot de passe.

Et lors d'un téléchargement d'un .exe, Safari prévient par contre : "attention vous êtes sûr le point de lancer un téléchargement d'un fichier .exe, l'autorisez-vous ?" - comme si a priori télécharger un .exe était forcément un virus (le téléchargement est d'ailleurs bloqué par Safari tant que l'on a pas répondu à cette "alerte")

En général, effectivement, quand on charge un .exe avec Safari, c'est que c'est un virus en download automatique

sans pass admin, j'imagine que le cheval de troie s'installait tout seul alors ? (je ne sais pas où surfe ma mère...)

Non, même sans passe, la fenêtre d'authentification apparaît (il suffit de la valider).

Enfin, le truc qui m'étonne, c'est que si les pages sont ensuite redigées vers des faux-sites maquillés comme les vrais (la tactique du fishing quoi), on doit forcément, d'un point de vue visuel (faute d'orthographe, graphisme...) se rendre compte que le site n'est pas le vrai.
J'ai souvent reçu par email des fishing de banques (où je n'avais pas de compte d'ailleurs), faux emails de paypal etc... et leurs sites étaient très mal francisés...

Non, certains sites de fishing sont très bien faits ! Pour la bonne raison qu'ils récupèrent le code HTML / CSS exact des pages du site cible.

[Frank White]

ok alors les conseils donnés sur le blog plus haut ne suffisent plus à détecter ou non la présence des multiples déclinaisons de ce cheval de troie ?

http://maconnect.ch/bg/?p=17#more-17

j'avais tapé les commandes de console...

N'ayant pas Leopard (je reste sous Tiger, dernière version 10.4.11 par manque de fric) le tableau de bord réseau ne donne pas les infos sur les DNS.

J'ai bien acheté il y a 1 an NetBarrier (mais pas VirusBarrier).
Il fourni des infos plus complètes. Peut-être que tu pourrais m'aider en me disant ce que je peux chercher de douteux via NetBarrier comme comportement...

Je peux réactiver les fonctions anti-spyware de Netbarrier qui affiche une alerte que je dois valider manuellement... ça permet de tester par exemple le comportement lorsque j'essaie d'accéder à certains sites qui peuvent devenir intéressants pour d'autres comme paypal ou d'autres...

Il n'existe pas à ce jour de shareware qui fasse la même chose que la dernière update de VirusBarrier d'Intego ? (leur demo en mode évaluation qui permettait juste de faire un vérification sans réparer ne fonctionne plus)

En général je fais très gaffe (pas de torrents, sauf pour certains sites officiels qui passent par les torrents pour de gros fichiers - genre ludomac.com (qui vient d'être hacké au fait) ou macgamefiles.com pour les demos de jeux...) ce genre de choses...

Rien ne peut garantir totalement par exemple qu'un site comme macgamefiles.com ne peut pas un jour contenir un jeu freeware dont le code aura été modifié...

Idem pour l'installation de toute nouvelle appli. Et quand le mot de passe user est demandé, si je ne suis pas sûr je ferme et relance pour voir ce qui se passe.
Mais bon je voudrais savoir où j'en suis quoi tout de même, car ce qui me gêne sous Tiger c'est le mode de lisibilité sur ce point...

[roseau]

Salut à tous,



Of course, il faudrait aussi que je bloque les requêtes DNS du LAN vers le WAN (firewall) et que seul le DNS Server fasse les requêtes.



Ciao.

un topic qui m'avait échapé

j'ai bien noté par ailleur le open dns (super interressant),
quand tu dis que tu bloque les requete dns du lan vers le wan , c'est bien des clients dont tu parles,?
Lors donc si les clients ne peuvent pas faire de recherche dns sur le wan mais uniquement sur le serveur ; vu que le serveur n'est théoriquement pas fait pour faire du surf, il n'aura donc pas été touché par le cheval, et ce dernier empêchera toute surf depuis un clientet par ce fait protégé.

J'ai juste?

[schlum]

Comme ça a été dit plusieurs fois, on peut vérifier facilement avec "scutil --dns" dans le Terminal...

[Frank White]

Comme ça a été dit plusieurs fois, on peut vérifier facilement avec "scutil --dns" dans le Terminal...

désolé je suis néophyte avec le terminal de OS X (et je trouve ça un peu triste de me connecter sur mon bon vieux PPC 603e sous OS 9 et connexion 56kbs pour être tranquille)

je voudrais juste être sûr que mon Mac est ok
car depuis la lecture de ce thread et certains message alarmistes sur l'extension de ce cheval de Troie et ses déclinaison, je n'ose plus aller sur ma banque et autres sites...


sur orange ils précisent que les DNS ne sont plus nécessaires, mais ils les donnent tout de même sur leur site :

j'ai donc tapé dans le terminal :

show State:/Network/Global/DNS

et comparé les DNS listés avec le du tableau de bord "Réseau" (je suis sous OS X 10.4.11)

je retrouve la même adresse IP (qui n'a jamais changé)

et les 2 autres sont les DNS d'Orange que j'ai malgré tout rentrés dans "serveurs DNS (facultatifs)" dans le tableau de bord "Réseau" :

80.10.246.2
80.10.246.129


c'est bon ?

[schlum]

j'ai donc tapé dans le terminal :

show State:/Network/Global/DNS

Ça sort d'où ça ? Moi je n'ai pas de commande "show"

[Frank White]

j'ai donc tapé dans le terminal :

show State:/Network/Global/DNS

Ça sort d'où ça ? Moi je n'ai pas de commande "show"

là :

j'ai suivi les différents moyens pour ceux qui sont encore sous OS X 10.4.1.1 de vérifier la présence de ce cheval de troie :

http://www.macworld.com/2007/10/firstlooks...horse/index.php

dans le terminal :

scutil

puis la commande

show State:/Network/Global/DNS

et ça me ressort ça :

si je compare avec ceux qui se trouve dans mon tableau de bord "Réseau", j'ai les mêmes DNS que j'ai rentrés pour Orange quand j'ai installés ma livebox :

<dictionary> {
ServerAddresses : <array> {
0 : 80.10.2
1 : 80.10.
2 : 192.


(en 2 mon routeur/IP fixe, en 0 et 1 ce sont les DNS (falcutatifs) d'Orange

si je les retire dans le tableau de bord j'ai alors rien à la place (en 1 et 2)

Ce message a été modifié par Frank White - 2 Dec 2008, 21:37.

[schlum]

Oui, c'est OK...