OSX/Keydnap : Transmission une fois de plus infecté

Mickaël Bazoge |

Le populaire client BitTorrent Transmission est une fois de plus victime d’un malware. Début mars, le logiciel — qui venait de recevoir une grosse mise à jour — installait à son insu et celui de l’utilisateur le ransomware KeRanger. Les chercheurs de We Live Security ont découvert que Transmission a transporté durant quelques jours un nouveau passager clandestin baptisé OSX/Keydnap.

Ce logiciel malveillant a été débusqué au mois de juillet par ESET. OSX/Keydnap subtilise le contenu du trousseau d’accès d’OS X tout en maintenant une porte dérobée dans le système. Les chercheurs d’ESET estimaient alors que la propagation de ce malware passait par le spam ou un téléchargement depuis un site non fiable.

We Live Security a établi qu’OSX/Keydnap se transmettait également par une version recompilée de Transmission 2.92… distribuée sur le site de l’éditeur du logiciel ! Dès que ce dernier a eu vent de la présence du malware, il a immédiatement retiré la mouture infectée ; la signature du bundle date du 29 août, mais les téléchargements de cette version n’ont véritablement débuté que le lendemain. Difficile de dire combien d’utilisateurs ont été infectés ces deux derniers jours.

On trouvera sur le site de We Live Security une liste de plusieurs fichiers et répertoires dont la présence est à vérifier sur le Mac, si on craint une infection. OSX/Keydnap était présent dans l’image disque Transmission2.92.dmg ; la version légitime et sans problème s’appelle Transmission-2.92.dmg.


avatar Moonwalker | 

T'as téléchargé Transmission dans la nuit du 28 au 29 août ?

Si non, tu n'as rien à craindre.

avatar Erravid | 

@Liena
Exact :
1. Copier le chemin suivant : /Applications/Transmission.app/Contents/Resources/
2. Ouvrir Finder
3. Menu "Aller → Aller au dossier" dans la barre tout en haut
4. Coller le chemin dans la fenêtre et cliquer sur "Aller"
5. Vérifier si un fichier "License.rtf" existe : si oui, mauvais nouvelle. Sinon, tout roule.

Le liste complète des fichiers est :

/Applications/Transmission.app/Contents/Resources/License.rtf
~/Library/Application Support/com.apple.iCloud.sync.daemon/icloudsyncd
~/Library/Application Support/com.apple.iCloud.sync.daemon/process.id
~/Library/LaunchAgents/com.apple.iCloud.sync.daemon.plist
/Library/Application Support/com.apple.iCloud.sync.daemon/
~/Library/LaunchAgents/com.geticloud.icloud.photo.plist

avatar Liena | 

@Erravid :
Ce que j'ai fait. Merci pour les réponses !
Et je n'ai rien :-)

avatar bonnepoire | 

Pas de vérole, tu peux retourner voir Madame.

avatar Erravid | 
avatar bonnepoire | 

Ton génie essaie de prouver quoi? Tu crois que je ne connais pas?

avatar Erravid | 

Utilise Internet pour autre chose que les sites porno et les jeux piratés, tu verras, c'est super.

avatar bonnepoire | 

T'es gentil. C'est pas la rentrée? Tu devrais pas être à l'école?

avatar blopi4 | 

Woh, je l'ai justement téléchargé dimanche.
Après vérifications ça me semble ok (nom de l'image téléchargée et vérification des fichiers).
Dur pour ce logiciel que j'aime beaucoup :(

avatar Moonwalker | 

Le site hacké une fois, ça passe, deux fois ça devient très inquiétant.

avatar belrock | 

@Liena

Si me souvenirs sont bons, Tu vérifies les process machine et notamment les utilisateurs dans moniteur d'activité.

avatar Alberto8 | 

A noter que cleen my mac a était mis à jour dans la soirée pour enlever cette daube !!! Il sont plus rapide que l'éclair !

avatar belrock | 

Non c'est pas ça!

Dans Finder>Aller>Aller au dossier et coller un à un et exécuter la recherche pour chacun des liens donnés sur le site indiqué.

Courage!

avatar Djipsy5 | 

Un seul commentaire de début détourne tous les autres commentaires de l'essentiel qui est ici l'article. Non mais il faudrait vous relire. Si la blague n'est pas à votre goût, passez. Mais cessez de vouloir monopoliser l'esprit des gens. Chacun commente comme il le sent.

Sinon pour revenir cet article bien malchanceux de s'être fait voler la vedette par un simple commentaire, je dirai que la desinstallation de Transmission reste mon unique recours.

avatar Erravid | 

Conclusion, regarder régulièrement ce qu'on a dans ses dossiers :
/Library/LaunchAgents/
/Library/LaunchDaemons/
~/Library/LaunchDaemons/

Et vive BitTorrent !

avatar NerdForever | 

C'est moi ou je suis le seul à penser que :
- quand on parle Transmissions: il y'a contagion...
- quand on parle Flash, on se fait griller...
;-)

avatar ovea | 

Votre Excellence @NerdForever :
Transmission, Flash … tout s'éclaire, merci :-)

avatar ovea | 

Si ma mémoire est bonne, on doit le développement du P2P à un français (IBM fellow) dans son implémentation populaire (on pourrait dire industrielle) : MLDonkey.
ML pour méta langage, puisqu'il fut développé en Caml qui nous vient de l' INRIA (whouha ! Il se sont fait un site : https://www.inria.fr/ )
Par ailleurs, parmi les quatre premiers langages les plus désirés il n'y a que Swift qui ne serait pas un méta langage … Apple n'a qu'à bien se tenir ;)

avatar eax | 

Du coup, il serait intéressant un article qui présente les différents logiciels anti-virus, anti-malware qui existent sur Mac.
Car ce sont malheureusement des soucis qui reviennent sur le tapis.
Utilisateur Mac depuis des années, je n'ai jamais eu ce genre de soucis, je ne clique pas n'importe où, je n'ouvre pas n'importe quel fichier, etc… mais on n'est jamais à l'abri quand même.

avatar Filou53 | 

Je sexcuse pour la bêtise de ma question mais...
apparemment le Mac de ma fille semble touchée par Keydnap
(merci d'avance à tous de nous épargner les mauvais jeux de mots de circonstance)

Quand je lis les 2 articles, je ne vois pas bien ce qu'il faut faire pour régler le problème...
simplement désinstaller Transmission et liquider tous les fch mentionnés ?

C'est pas vraiment clair pour mon petit esprit...

avatar Filou53 | 

j'ai trouvé...
c'est expliqué ici, sur le site de Transmission

https://transmissionbt.com/keydnap_removal/

Pages

CONNEXION UTILISATEUR