Un cheval de Troie découvert sous OS X, Réactions à la news du 31-10-2007

[Pasclairix]

Merci à Trouspinette et Orangina_rouge d'avoir éclairé ma lanterne sur les DNS.

[LeNulPourLesMacs]

Et souvent, malheureusement, l'utilisateur mac est bien plus naïf que l'utilisateur PC...

Euuuh ça c'est pas sur.

Oui, c'est clair. Enfin, je ne sais pas. Mais, si tu te focalises sur la com' de Apple, l'utilisateur d'un mac peut se permettre d'être plus naïf sur le net qu'un autre car sa machine "est plus sûre sur le net"... non? Donc, c'est cette naïveté, le fait de pouvoir se dire "à l'abris" que je mettais en cause plus haut.

en tout cas lui il y a eu droit

http://discussions.apple.com/thread.jspa?messageID=5709418

Courageux quand même de poser une question après avoir fréquenté des sites, hrm... , fréquentables.

In the wild ils disent chez Intego. En quelque sorte oui ...

[float2]

pres reflexion, je ne sais pas si c'est une bonne pub pour intego
.. ils vont associé leur client a des visiteurs de site X

"Tu as intego sur ton mac? tu regarde des sites X .. c'est pour ca?"

Les gens n'oseront plus dire qu'il ont Intego sur leur mac

Au fait : qui sur ce forum a intego?

hihi

Bonne nuit
Jerome.

[MacEnsteph]

Intego a eu de la chance de tomber sur ces sites hier : avec ContentBarrier je me demande s'ils ont une équipe qui inspecte tous ces sites tous les jours. En tout cas ils ont l'air efficace !

Tu te demandes ? Je croyais que tu étais pas mal placé pour le savoir pourtant

In the wild ils disent chez Intego. En quelque sorte oui ...

Bon, tu veux qu'on en rajoute encore une couche ???

[Grognon]

Alain Delon, sors de ce corps !

(comprenne qui pourra )

[DOMY]

Alain Delon, sors de ce corps !
(comprenne qui pourra )

C'est une métaphore ????

Ce message a été modifié par DOMY - 2 Nov 2007, 20:54.

[Cronos]

je suis connecté au routeur d'une livebox.
Le contrôle l'Ipv4 et DNS identique via préférences système/réseau est-il suffisant.?
Dans mon cas:
Adresse IPv4= 192.168.1.10
sous réseau 255.255.255.0
routeur= 192.168.1.1
serveur DNS=192.168.1.1.0.0.0.0

La question fondamentale est bien: comment on peut le plus simplement du monde contrôler que tout est OK?
En regardant bibliothèque/internet plug-ins, je n'ai pas le fichier plugins.settings donc je ne suis pas infecté à coup sûr?

Ce message a été modifié par Cronos - 1 Nov 2007, 09:01.

[iMoi for mac]

Je me suis sacrifié , mon passé de Windows User me disait de retrouver ce torjan

s1=85.255.114.84
s2=85.255.112.167

voila les DNS

(non je suis pas c*n je ne l'ai pas installer mais j'ai regarder dans le fichier Archive.pax.gz et apres j'ai ouvert le fichier plugins.settings avec textedit)

Ce message a été modifié par iMoi for mac - 1 Nov 2007, 06:03.

[ppo@]

Trouspinette, d'accord pour lutter contre le style SMS ! Mais peut-on éviter de tomber dans l'excès inverse (msg #65) ?
Est-ce que ta présentation de l'outil OpenDNS ne pourrait pas faire l'objet d'un didacticiel dédié à ce sujet (msg #23) ?
Merci d'avance,
patrick

[T3zoual]

C'est pareil pour le créateur de ce cheval de troie, qui est mégalomane, alors que l'on va l'oublier aussi vite qu'il est apparu !

C'est très bien d'être cool, mais trop de négligence sur ce genre de problème favorise sa diffusion.
Lionel a raison, dès le premier post, de recommander notre calme sur un sujet sensible.
Mais les réactions "pfff, encore un truc qui ne ME fera jamais rien, m'en fiche, chui bien tranquille" ... sont finalement assez risquées : soi-même, tout seul, bien tranquille, on ne risque pas forcément de catas., mais nous sommes quand même connectés à un réseau et certains d'entre nous peuvent être la victime de ces arnaques, qui peuvent faire très mal.

Ca n'arrive jamais à moi-je, tout seul, jusqu'à ce que ... ça arrive.
Et une escroquerie au phishing, même certaines personnes "très très intelligentes (enfin trop pour se faire avoir, bien sûr)", sont tombées dedans.

Bref, les appels à la vigilance de Lionel sont utiles, et à ne pas traiter avec condescendance ...

C'est mon très humble avis, sans émotion, mais avec le recul sur ce sujet précis : presqu'un milliard de dollard de perte pour les entreprises US (banques, notamment, pas les moins protégées, en principe), en 2006.

Les victimes n'étaient pas toutes des décérébrées, par hypothèse.

PS : Sinon, Imoi, est-ce que ces DNS sont à mettre en blacklist ?



Ce message a été modifié par T3zoual - 1 Nov 2007, 07:26.

[iMoi for mac]

C'est pareil pour le créateur de ce cheval de troie, qui est mégalomane, alors que l'on va l'oublier aussi vite qu'il est apparu !

C'est très bien d'être cool, mais trop de négligence sur ce genre de problème favorise sa diffusion.
Lionel a raison, dès le premier post, de recommander notre calme sur un sujet sensible.
Mais les réactions "pfff, encore un truc qui ne ME fera jamais rien, m'en fiche, chui bien tranquille" ... sont finalement assez risquées : soi-même, tout seul, bien tranquille, on ne risque pas forcément de catas., mais nous sommes quand même connectés à un réseau et certains d'entre nous peuvent être la victime de ces arnaques, qui peuvent faire très mal.

Ca n'arrive jamais à moi-je, tout seul, jusqu'à ce que ... ça arrive.
Et une escroquerie au phishing, même certaines personnes "très très intelligentes (enfin trop pour se faire avoir, bien sûr)", sont tombées dedans.

Bref, les appels à la vigilance de Lionel sont utiles, et à ne pas traiter avec condescendance ...

C'est mon très humble avis, sans émotion, mais avec le recul sur ce sujet précis : presqu'un milliard de dollard de perte pour les entreprises US (banques, notamment, pas les moins protégées, en principe), en 2006.

Les victimes n'étaient pas toutes des décérébrées, par hypothèse.

PS : Sinon, Imoi, est-ce que ces DNS sont à mettre en blacklist ?

Je savais pas qu'on pouvais blacklister des DNS mais oui , ce son ceux que j'ai trouver dans le virus

edit : Voici le virus : http://www2.partage-facile.com/1000390-Vir...MARRER_DMG.html , j'ai volontairement enlevé l'extention pour que personne ne tombe dans le piège , pour voir les DNS , il suffit de le renommé en DMG , NE SURTOUT PAS FAIRE L'INSTALL mais sur le .pkg cliquer droit et Afficher le contenue du paquet , extraire le fichier Archive.pax.gz ensuite ouvrire le dossier archive et ouvrir avec textedit "plugins.settings"

les deux ligne S1 et S2 s'on le DNS

edit 2 :

Comment supprimer OSX.RSPlug.A neilime
Si vous avez eu le malheur de laisser entrer le Cheval de Troie OSX.RSPlug.A dont nous vous parlions en début de soirée, sachez qu’à part l’antivirus dont il était alors question, il existe un moyen de s’en débarrasser. Voici un résumé de la méthode publiée par MacWorld.

Tout d’abord pour savoir si l’on est infecté, il faut vérifier si l’on possède un fichier nommé plugins.settings dans /Bibliothèque/Internet Plug-Ins et que les DNS de votre machine (le système qui transforme une adresse IP d’une suite de chiffre vers des mots lisibles) ont été remplacés. Ce que vous pouvez voir soit dans les préférences réseaux de Mac OS 10.5 soit en utilisant la commande scutil dans le terminal suivi de show State :/Network/Global/DNS si vous êtes sous 10.4 Tiger.

Une fois que vous êtes sûr(e) que votre Mac est infecté, il faut en passer par trois étapes :
Suppression du fichier plugins.settings dans /Bibliothèque/Internet Plug-Ins qui s’est chargé de modifier vos réglages.
Suppression du lancement à intervalles réguliers de la méthode d’infection en utilisant sudo crontab -r dans le Terminal suivi de votre mot de passe administrateur.
Et enfin ouverture des préférences réseaux pour noter vos adresses DNS non grisés (celles de votre configuration normale), soit dans sur papier, soit dans un fichier TextEdit, avant de redémarrer et rentrer de nouveau ces informations dans le panneau Réseau de vos Préférences Système.

Ouf !

Source : http://www.macplus.net/magplus/depeche-158...er-osx-rsplug-a

Ce message a été modifié par iMoi for mac - 1 Nov 2007, 07:45.

[Lent Toine]

D'où le nom cheval de Troie.
J'ai rajouté dans la news des explications sur les DNS pour les non familiers.

Bravo Lionel pour cette description claire et limpide. On ne pourra pas dire qu'on n'a pas été prévenus

[T3zoual]

Imoi, merci pour cette contribution utile !

Certains firewall - logiciels de sécurité - permettent de mettre en "liste d'exclusion" certaines adresses (par exemple celles d'où seraient émises des scans de port, ou autres comportements agressifs).

Dans le cas de tes deux DNS, ça semblerait être un moyen de ne pas être redirigé à son insu sur des sites imités ...

[ekami]

Et si à la place du nom en mode texte "www.ebay.fr" on tape directement l'adresse IP du site, le trojan continue de faire son travail malveillant ?
- A priori non.
- Car visiblement même avec un DNS correctement saisi dans le prefpane "réseau" on peut passer outre en écrivant directement dans le fichier Hosts. Certes, tant qu'il faudra autoriser une appli téléchargée n'importe où et l'autoriser on ne craint pas grand chose, mais la menace est réelle et devrait être prise au sérieux par nous tous.
Donc pour être sur d'arriver sur le site de sa banque ou d'eBay... le plus sur est encore de résoudre d'abord l'adresse textuelle via la Commande "LOOKUP" de l'utilitaire de réseau, et de copier l'adresse IP dans le signet de son navigateur. Allez, hop ! je fais ça illico pour ma banque et quelques autre sites "sensibles", et je me sens déjà un peu plus zen ;-)
A bon entendeur...

[NicoNeo]

Leopard viens de sortir depuis moins d'une semaine et hop Intego découvre un cheval de Troie.

Et hop la nouvelle mouture adaptée à Leopard va pouvoir être vendue.

Bizarre non Lionel ?
Tu ne t'es pas posé cette question avant de lancer cette news que tu n'as en aucun cas écrite de façon rassurante ?
Tu as peut-être des actions chez intego ?

Désolé mais je ne trouve pas cela très professionnel.
MacBidouille n'est plus un site "d'amateurs du début".
La façon dont tu écris cet article peut faire penser aux gens que les macs ne sont plus fiables à ce niveau, ce qui est loin d'être le cas.

[Tiberius78]

Leopard viens de sortir depuis moins d'une semaine et hop Intego découvre un cheval de Troie.

Et hop la nouvelle mouture adaptée à Leopard va pouvoir être vendue.

Bizarre non Lionel ?
Tu ne t'es pas posé cette question avant de lancer cette news que tu n'as en aucun cas écrite de façon rassurante ?
Tu as peut-être des actions chez intego ?

Désolé mais je ne trouve pas cela très professionnel.
MacBidouille n'est plus un site "d'amateurs du début".
La façon dont tu écris cet article peut faire penser aux gens que les macs ne sont plus fiables à ce niveau, ce qui est loin d'être le cas.

Il me semble que ce cheval de troie ne touche pas que Léopard mais la 10.4 aussi... Après, savoir si c'est une coïncidence ou pas, c'est autre chose.... De toutes façons tu n'es pas obligé d'installer le logiciel d'Intego pour t'en débarasser. Et puis je ne sais pas si on peut reprocher à Intego de faire son boulot de repporting, ou à Lionel de faire son boulot d'information.

Maintenant, il est probable que l'on va avoir de plus en plus de problème de sécurité, ou en tout cas d'attaque, y compris sur l'iPhone que tourne lui aussi sur Mac OS X... Après tout, les désimlockage et autres sont basés sur des failles de sécurité (ou tout du moins des failles logiciels en général). Quand on voit que la dernière version d'AppSnap s'installe sur l'iPhone et permet de le déprotéger/désimlocker et d'installer tout et n'importe quoi, en moins de 5mn, à l'aide du faille sur un bête format TIFF, tu te doute bien qu'à terme on peu craindre le pire et comprendre la volonté d'Apple de ne proposer à terme que des logiciels certifiés (et probablement en partie payant, mais ils sont là pour faire du business aussi ).

Ce message a été modifié par Tiberius78 - 1 Nov 2007, 08:40.

[Cappuccino]

C'est business as usual pour les éditeurs d'anti virus. Ils font de la promo et du marketing sur la peur. Ca fait partie du truc.

D'un autre côté, c'est mieux de prévenir tout le monde et de dire à nouveau que l'on ne tape pas son mot de passe admin à tout va !

Au fait, une question, pour que leur cheval de Troie fonctionne, il faut qu'ils aient fait une copie parfaite de tous les sites que l'on visite non ? sinon on tombe sur la version normale ?

Ce message a été modifié par Cappuccino - 1 Nov 2007, 08:45.

[CyVice]

Je suis d'accord avec certains ici ... ca semble bizarre cette annonce de Intego juste après la sortie de Leopard.
On veut absolument nous faire acheter un anti-virus pour Mac. J'en ai jamais utilisé et je ne voudrais pas en utiliser, j'ai l'impression que ça fait plus de mal que de bien. J'en ai essayé un il y a quelques années, c'était très efficace pour me ralentir la machine !
Ce qui est gênant est que cette annonce vient d'un fabricant d'anti-virus et non pas d'une source indépendante.
Je cite Intego: "As the dangers of the Internet grow, Intego is hard at work, developing new software to protect users and their Macs from the latest security and privacy threats."
"We protect your world."
sic.

[hellomorld]

Donc pour être sur d'arriver sur le site de sa banque ou d'eBay... le plus sur est encore de résoudre d'abord l'adresse textuelle via la Commande "LOOKUP" de l'utilitaire de réseau, et de copier l'adresse IP dans le signet de son navigateur. Allez, hop ! je fais ça illico pour ma banque et quelques autre sites "sensibles", et je me sens déjà un peu plus zen ;-)
A bon entendeur...

Et tu crois que Lookup va rechercher où ses infos ? Si tu es déjà infecté, tu auras les mauvaises ip.

[Lukas]

Leopard viens de sortir depuis moins d'une semaine et hop Intego découvre un cheval de Troie.

Et hop la nouvelle mouture adaptée à Leopard va pouvoir être vendue.

Bizarre non Lionel ?
Tu ne t'es pas posé cette question avant de lancer cette news que tu n'as en aucun cas écrite de façon rassurante ?
Tu as peut-être des actions chez intego ?

Désolé mais je ne trouve pas cela très professionnel.
MacBidouille n'est plus un site "d'amateurs du début".
La façon dont tu écris cet article peut faire penser aux gens que les macs ne sont plus fiables à ce niveau, ce qui est loin d'être le cas.

Faut pas être grognon comme ça...
Je crois au contraire que Lionel réfléchi très bien... ( je ne dis pas ça pour lui faire plaisir hein )

De plus, indirectement, c'est aussi le moyen, par différentes news de ce type postées sur la toile, de rappeler à Apple qu'il ne faut pas s'endormir au niveau de la sécurité... et l'importance qu'a la sécurité aux yeux de leurs clients.

Et la news n'est pas alarmiste... elle expose simplement l'info.

Ensuite, le complément de vérité arrive en réponses sur les forums.

- Si non, en effet, c'est Symantec qui avait fait le même coup sous 10.4. Ils ont pris les utilisateurs de Mac pour des imbéciles, pensant vendre leur logiciel, mais ça n'a pas pris et ils n'ont pas eu le chiffre qu'ils espéraient.

Auto-citation :

Très peu de risques, en effet.

Je m'inquiéterais plus le jour où un vrai virus pour Windows sous Parallels Desktop attaquera des fichiers du système par le chemin "\\.PSF\.Mac\" et d'autres volumes par "\\.PSF\.Mac\Volumes".

Vous ne craignez cependant pas qu'un réel risque provienne de Windows sur nos Mac ?

Ce message a été modifié par Lukas - 1 Nov 2007, 08:54.

[Cappuccino]

Vous ne craignez cependant pas qu'un réel risque provienne de Windows sur nos Mac ?

Windows n'a pour le moment pas accès aux partitions Mac...(sauf installation de logiciels type Mac Drive), en tout cas sous BootCamp. Pour Parallels, est ce possible ?

Ce message a été modifié par Cappuccino - 1 Nov 2007, 08:57.

[Cronos]

Je propose à Intego de nous fournir son logiciel de protection gratuitement

[iRed]

C'est le plus pathétique des cheval de troie que j'ai jamais vu !

[Lukas]

(réponse à Cappuccino)

Oui... ça l'est [Parallels Shared Folders (.psf)]. Il suffit d'avoir rendu accessible par ce biais l'intégralité du disque... Mais même ailleurs, un fichier caché peut être copié, des documents (texte, images, etc.) peuvent être supprimés, ... Les dégâts peuvent dans ce cas être de taille...

Les dossiers sensibles semblent être en lecture seule, mais c'est déjà le cas sous pc/windows pour les fichiers du système et ça n'empêche pas grand chose. Alors est-ce bien sécurisé ?

Pour MacDrive et ses équivalents... sur des machines utilisant à volonté Mac OS et Windows... J'ai bien peur qu'ils ne soient fréquents.

Ce message a été modifié par Lukas - 1 Nov 2007, 09:09.

[Lionel]

Leopard viens de sortir depuis moins d'une semaine et hop Intego découvre un cheval de Troie.

Et hop la nouvelle mouture adaptée à Leopard va pouvoir être vendue.

Bizarre non Lionel ?
Tu ne t'es pas posé cette question avant de lancer cette news que tu n'as en aucun cas écrite de façon rassurante ?
Tu as peut-être des actions chez intego ?

Désolé mais je ne trouve pas cela très professionnel.
MacBidouille n'est plus un site "d'amateurs du début".
La façon dont tu écris cet article peut faire penser aux gens que les macs ne sont plus fiables à ce niveau, ce qui est loin d'être le cas.

Parfois il m'est difficile de garder mon calme en lisant de telles accusations qui sont des monceaux de conneries.
Alors on fait quoi ? On ignore ? On fait semblant que ça n'existe pas pour ne pas froisser ta susceptibilité ?
Pourquoi ce sont les société éditrices de virus qui les découvrent ? C'est peut-être parce qu'elles payent des gens à les traquer, ce qui semble logique, non ?
C'est quoi pour toi le professionnalisme ? Ne parler que des choses qui t'intéressent et surtout ne te froissent pas ? Ben cool, ya qu'un moyen pour que ton rêve devienne réalité, deviens "professionnel" !
Et au fait, non je n'ai pas d'actions Intego, ni Apple, ni Dell, ni Elgato, ni je ne sais quoi encore. En fait aucune action dans l'industrie informatique touchant de près ou de loin le monde Mac. C'est justement pour rester indépendant face à l'actualité.
Maintenant je suis désolé que le Mac semble moins fiable après cette brève qui est un fait, pas une affabulation. Mais mon rôle n'est pas de déformer la réalité.
Si ce cheval de Troie est aujourd'hui sur des sites porno, que personne au monde ne fréquente bien entendu (sic), il pourrait l'être demain, ailleurs, sur un site qui te semblerait plus fiable et moins criard, peut-être envoyé en PJ dans un spam, peut-être accolé à un pseudo DVD de Leopard caviardé.
Tu te trouves moins en sécurité aujourd'hui qu'hier ? Bienvenu dans le monde réel mon garçon, celui où on peut tuer un bébé pour ne pas avoir à l'élever, celui où Apple veut te prendre ton argent, et où des méchants tentent de t'arnaquer.

J'ai posé la news avec la maximum de pondération pour éviter ce type de réactions. Tu l'as fait quand même sans justification. Je te conseille la prochaine fois que tu m'accuseras de quelque chose de grave comme tu le fais d'être certain de toi. Sinon, tu auras à en payer la facture.

[xgonin]

Bravo Patron !!!

[Mokona]

Un petit truc : souvent dans ebay, paypal et autre, un cookie permet de remplir automatiquement le nom d'utilisateur dans le formulaire de login.

Et bien, si vous n'êtes pas sur le bon site, votre username n'y sera pas ! C'est un truc simple pour vérifier ^^

[NicoNeo]

Ce qui me semble être professionnel c'est effectivement de dire que cela existe mais aussi de rassurer les gens car c'est quelque chose de bénin.

Plein de monde à peur des virus et ne connaissent pas la différence entre un cheval de troie et un virus.
Plein de personnes refusent aussi de me croire quand je leur dis qu'ils n'ont pas besoin d'anti-virus sur leur machine.

Jjuste pour dire qu'une info se doit à mon avis de peser le pour et le contre, d'informer tout en restant en retrait, et donnant tous les tenants et aboutissants.

Dans ce cas précis :
1- un cheval de troie existe
2- ce n'est pas un virus
3- faites attention à ne pas faire ceci ou cela
4- le mac reste fiable
5- petite interrogation sur cette découverte avec la sortie leopard.

Voilà, je ne veux absolument pas être donneur de leçon mais cela aurai eu le mérite d'informer sans affoler.

Amicalement.

PS :

Je n'avais pas lu la fin de ta réponse, mais tu me vois surpris !

La prochaine fois je vais devoir en payer la facture ?
Tu dis ça parceque j'ai posé la question sur Intego ?
Si tu veux parler de ça alors tu verras qu'il s'agit en effet d'une question au contraire d'une grave accusation.

Précises donc stp, que veux tu dire par là ?

Ce message a été modifié par NicoNeo - 1 Nov 2007, 10:01.

[Cappuccino]

Les dossiers sensibles semblent être en lecture seule, mais c'est déjà le cas sous pc/windows pour les fichiers du système et ça n'empêche pas grand chose. Alors est-ce bien sécurisé ?

Chez moi, je n'utilise que BootCamp et je partage les fichiers via une clé USB pour éviter les problèmes, ainsi Windows n'a pas accès à mes partitions ou fichiers Mac.

C'est clair que ça peut être source de problème mais sous Windows, un anti virus/spyware/etc. est de toute façon vital car même sans aller sur des sites x (ou y ), on peut facilement se retrouver avec un virus via le spam, l'échange de fichiers word etc.

[Lukas]

Dis donc Nico, t'es né comme ça ou c'est une façon de te défouler ?

Je crois que l'excès de prudence n'existe pas, que les choses peuvent très vite évoluer, et qu'il vaut mieux un peu de peur que beaucoup de mal, non ?

Soit tu es en mesure de comprendre l'info, techniquement parlant, soit tu ne fais pas la différence entre virus et trojan, et là, peu importe, tu comprendra qu'il existe un "danger".

Pour s'en prémunir, il suffit de se rappeler d'une règle élémentaire. Ne téléchargez pas n'importe quoi, et ne rentrez votre mot de passe admin que lorsque vous êtes certain que c'est à bon escient.
Il y a hélas des chances que ce type d'attaque n'aille en augmentant et se fasse de plus en plus pernicieuse avec le temps, les parts de marché d'Apple augmentant.

Tu te dira, "ha très bien, j'ai le comportement adéquat pour que ça n'arrive pas, me voilà rassuré", ou "ha ok, je vais faire attention pour que ça n'arrive pas", ou encore "c'est bon, je sais déjà qu'il faut faire attention". Les newbies sur Mac pensant qu'aucun danger de virus n'existe penseront facilement qu'ils peuvent faire un peu n'importe quoi : qu'ils peuvent installer n'importe quoi sans se poser de question puisqu'Apple et les mac-users rabachent qu'il n'y a pas de virus sur Mac. Cette info leur rendra peut-être service.

Je suis aussi d'avis que cette info sert les intérêt de l'éditeur d'anti-virus, qui lui-même peut sauter sur l'occasion pour faire peur, pour vendre, ce que ne fait pas la news... (Lionel ne dit pas de l'acheter, mais de ne pas executer n'importe quoi). D'autre part, ça n'empêche pas sa véracité. Comme il y a de plus en plus de Mac, il y a de réels chances que ce genre de choses se multiplie, se retrouve sur d'autres sites, etc. Il vaut mieux s'y préparer... et tant que possible prévenir que guérir.

Voilà, si les news de MB te mettent dans cet état... tu devrai peut-être éviter de les lire de si bon matin.