Un Troyen s'invite sur Mac OS X

Christophe Laporte |
Un Troyen sous la forme d'un AppleScript traîne sur iChat et LimeWire. Ce dernier s'attaque aussi bien à Leopard et à Tiger. SecureMac estime que ce cheval de Troie utilise une faille critique du système.

Quel aspect a-t-il ?

Dans les faits, vous ne risquez rien tant que vous n'exécutez pas le script en question qui prend soit la forme d'un script compilé soit d'une application. En fonction des cas, le fichier en question se nomme ASthtv05 et pèse 60 Ko ou AStht_v06 et fait 3.1 Mo.


Que fait ce cheval de Troie ?

Si l'un des fichiers en question est exécuté, les choses se compliquent par contre. Profitant d'une faille d'Apple Remote Desktop, le script parvient à obtenir les privilèges administrateur et commence à investir votre système. Il s'installe dans le dossier /Library/Caches/ et s'exécute automatiquement au démarrage. Pour ne pas attirer l'attention de l'utilisateur, il désactive l'enregistrement des messages systèmes et ouvre des ports du Firewall. Ce cheval de Troie est capable d'enregistrer ce que vous écrivez au clavier, d'activer le partage de fichiers, permet de prendre des captures d'écran ainsi que des photos à l'aide d'iSight et peut transmettre vos mots de passe.

Que faire pour se protéger ?

SecureMac et Intego ont déjà mis à jour leur antivirus respectif pour faire face à cette faille. Le mieux bien sûr est d'exécuter uniquement des fichiers provenant d'une source de confiance.

En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage. Ce service étant lancé par défaut, le script ne peut exploiter la faille d'Apple Remote Desktop lui permettant d'obtenir les pleins pouvoirs.

Partage


Que faire si vous avez été piégé ?

Soit vous installez la version de démonstration de MacScan, qui se chargera de l'éradiquer, soit de faire vous même le ménage en démarrant sur un disque externe.

avatar Gimli fils de Gloin | 

Je flippe grave. Ah mais non, j'ai viré cette daube de iChat, c'est vrai.

avatar ybart | 

Quel dommage ! Cette faille n'utilise justemment pas iChat !

avatar Nathalex | 

Voilà une excellent nouvelle ! Je vais peut-être pouvoir activer le partage de fichier sur le MacBook professionnel de ma moitié qui n'a pas les droits pour le faire ;o)

Sinon, l'envie est grande de répondre sur la "daube" d'iChat mais ce n'est pas le sujet..........

avatar boulifb | 

Je n'utilise ni iChat, ni LimeWire...

avatar MoMobmx | 

"Quel dommage ! Cette faille n'utilise justement pas iChat !"

XD, tellement bien dit :P

avatar seblesi | 

M'en fout, toute façon y'a pas d'virus sur Mac! C'est ça qu'il faut dire hein.....??? ;)

avatar surrion | 

sa y'est sa commence vas falloir crée une campagne de pub anti mac pour diminuer le nombre de Switcher grandissant a vitesse du prix du baril

avatar misterbrown | 

J en tremble.

avatar Makhno | 

Moi je dis, faut pas être totalement net pour lancer un truc au nom pareil sans savoir d'où il vient...

avatar EricBZH | 

Ohlala, mais c'est pas possible :o( un cheval de troie sur mac !!!???

Vite, il faut que je retourne sur windows pour avoir des centaines de chevaux de Troie tous les jours !!!!

avatar Ziflame | 

Il a surement ete ecrit par Intego ou SecureMac :p

avatar Hak | 

"En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage."

Attention ce n'est pas totalement vrai sur Tiger. J'ai fait des tests pour pouvoir appliquer la faille et sur Tiger lorsque ARD est désactivé, pas moyen d'executer un script sur ARDAgent.

C'est seulement en activant ARD dans les préférences que cela a marché mais de façon très aléatoire, la plupart des essais ont échoué. Donc je sais pas si Indigo a testé leur solution sur Tiger mais dans mon cas c'est tout le contraire qu'il faut faire. J'ai pas essayé sur Leopard, j'imagine que cela marche, mais sur Tiger c'est pas la même chose.

avatar Fabricius | 

C'est le genre de news qui va attirer les troll, d'ailleurs ça commence bien...

Ensuite sur les sites du monde informatique ça va parler de cette faille, ça va bien ce moquer de nous mais bon comme toujours ils n'auront rien compris au truc, qui plus est nous quand ont parle de faille de sécurité c'est pour justement nous rappeler qu'elles existent et comment s'en protéger, alors que eux, il y en a tellement qu'ils n'ont même plus de news pour en parler sinon vive les floods sur ce genre de news ...

Tien... je me mettrais ty pas à troller moi ???!

Bon allé je me recouche :-s

Fabricius

avatar Silverscreen | 

Virus et troyens sont deux choses distinctes et les virus sur Mac sont effectivement pour l'instant quasi absents de la plateforme OS X. Le troyen utilise au départ la naïveté de l'utilisateur pour l'inciter à lancer un programme compromettant la sécurité de son ordi en se faisant passer pour autre chose (StripPokerX.dmg ou un truc du genre). Un virus est un programme capable d'utiliser les failles de sécurité de nombreux systèmes pour se propager de l'un à l'autre des ordinateurs sans intervention de l'utilisateur.

En gros, dans un cas, y'a qu'un naïf à qui ça fait du tort, dans l'autre il contamine aussi toutes ses connaissances…en raison de failles de sécurité inhérentes au système qu'ils utilisent… (Windows, en l'occurrence, pour l'instant)

avatar TotOOntHeMooN | 

Encore... Faudra que je pense à le lancer pour qu'il prenne effet alors... LOL

avatar Jerry Khan | 

Ziflame,

+1.

J'en suis persuadé aussi.

avatar supermoquette | 

C'est assez comique de devoir activer un service supplémentaire pour prendre moins de risque…

avatar .Spirit | 

Bonjour,

Serait-ce le "vrai" premier cheval de Troie sous Mac ? Celui qui exploite des failles pour prendre les droits d'admin et non celui qui vous demande votre mot de passe bien gentiment...
En tout cas avec la hausse des parts de marché il va falloir s'y attendre un jour ou l'autre à voir débarquer sur Mac ce genre de trucs... C'est malheureux mais c'est comme ça, y'a des cons sur cette terre qui n'ont rien d'autre à foutre que d'emmerder les gens. :/

avatar Le Chapelier | 

@ Surrion : "sa y'est sa commence vas falloir crée une campagne de pub anti mac pour diminuer le nombre de Switcher grandissant a vitesse du prix du baril"

C'est vrai quoi ! Tout est de la faute des nouveaux basculeurs (donc d'Intel, donc du Pape d'Apple et ses décisions purement économiques). Et les nouveaux basculeurs, ils ne se sont jamais posés la question de la supériorité du Mac avant le passage aux procs Intel ?

Ah ! Ca fait du bien de râler un peu...

avatar shoko | 

ahahahahahahahahahahahahahahahaha
désolé c'est nerveux.
p'tain fais chier ...

avatar Flibust007 | 

D'accord 100 % avec Le Chapelier et .Spirit.
Quand on fusionne les commentaires on a une synthèse de la cause et des effets.

avatar supermoquette | 

"ahahahahahahahahahahahahahahahaha
désolé c'est nerveux.
p'tain fais chier ... "

C'est toi qui poste ou c'est celui qui a pris le contrôle de ton ordinateur ?

avatar Jerry Khan | 

pauvre chapelier......

le probleme en question là est purement logiciel - rien à voir avec un processeur.

avatar Ziflame | 

Ah oui ça me faisait penser à ceux qui pensaient que les virus de Windows allaient arriver sur Mac avec le passage sur intel... il y en a vraiment des pathétiques...

avatar DeadPixel | 

.Spirit > en effet, ce cheval de Troie n'a pas besoin du mot de passe administrateur, c'est ce qui le rend dangereux.
À l'inverse des précédents "chevaux de Troie" sur Mac (laissez-moi rire) qui te demandent ton mot de passe administrateur pour s'installer. Un peu comme si on t'envoyait un mail en te demandant de taper [b]sudo rm -rf /[/b] dans un terminal.

Enfin bon, je balance un gros LULZ à tous les trolleurs. Sur Windows y'a pas 5000 virus ou chevaux de Troie par jour, faut pas déconner ; si on a un bon antivirus et antispyware, et qu'on fait pas n'importe quoi, on se fait pas emmerder. En deux ans j'ai jamais eu de soucis avec. Bon après c'est sûr que sur Mac y'a même pas besoin d'antivirus/spyware, mais faut pas se croire totalement à l'abri non plus.

avatar Hindifarai | 

Tous ces commentaires pour un pauvre cheval de troie ça frise le ridicule. Ces derniers sont présents depuis des années en grand nombre sur tous les systèmes d'exploitation connus (de GNU/Linux à FreeBSD en passant par les autres plus connus) mais la communauté mac n'était pas au courant? Cette news prends les macusers pour des imbéciles :D .
La solution pour se prémunir des chevaux de Troie est assez simple à mettre en oeuvre : faire fonctionner deux neurones simultanément à chaque fois que l'on double clic quelque part, dès lors le terrible danger s'éloigne.

avatar Atlante | 

Et là tout d'un coup, j'ai pris conscience que mac os est aussi vulnérable à des saletés identiques qui infestent Windows!!

Dur après 10 ans d'Imac, d'Ibook, et de Powermac depuis que j'ai 8 ans! Vous ça va vous êtes vieux vous avez pas été formaté à l'interne aux plus tendres moment à croire que le mac est invulnérable... moi si et là ce que je ressens c'est encore pire que la fois où on m'a dit pour le père noël!!! :s VDM

avatar Atlante | 

Christophe je te déteste!!!!

avatar Lamar | 

@ Atlante
Vieux toi-même d'abord !

(je pense que ce genre de répartie prouve à tous que je ne suis pas vieux).

avatar boulifb | 

Il FAUT acheter un antivirus...
VITE! Allons acheter un antivirus!

Heureusement que Symantec et Peter Norton sont là pour nous protéger des virus grace à leur antivirus.

avatar .Spirit | 

[quote]Deadpixel
Enfin bon, je balance un gros LULZ à tous les trolleurs. Sur Windows y'a pas 5000 virus ou chevaux de Troie par jour, faut pas déconner ; si on a un bon antivirus et antispyware, et qu'on fait pas n'importe quoi, on se fait pas emmerder. En deux ans j'ai jamais eu de soucis avec. Bon après c'est sûr que sur Mac y'a même pas besoin d'antivirus/spyware, mais faut pas se croire totalement à l'abri non plus.[/quote]

Tout à fait d'accord. Il fût un temps sous Windows ou rien que le fait d'être connecté nous exposait à des virus (le début de Windows XP par exemple, si je me souviens bien, d'ailleurs c'était sensé être une daube aussi ce XP, et finalement...). Maintenant, ça a changé, et si on fait attention, l'antivirus ne sert plus à grand chose en fait. Je n'ai plus eu d'alertes de Avast depuis... très longtemps.

@le chapelier: Là par contre je ne suis pas d'accord, en quoi les processeurs Intel font que les chevaux de Troie arrivent ? C'est une histoire de code, et s'il y a une faille telle que celle-ci, c'est dû au code. Alors oui on code en fonction de l'architecture, et peut-être que CETTE faille n'aurait pas existé sur une architecture PPC. Mais il y en aurait eu d'autres (avec peu de PdM forcément il y a moins d'intérêt pour les cons [ceux qui vérolent]). Le processeur n'a rien à voir avec tout ça, dans ce cas c'est bien une faille, non pas due à l'architecture mais à la façon de coder de chez Apple (ce n'est pas une critique puisqu'il y a des failles partout). Et si cette faille peut être corrigée, c'est bien que l'architecture n'est pas en cause.

avatar Hindifarai | 

+1 .Spirit

En me faisant l'avocat du diable, je viens de lancer la commande en cause en exécutant un simple whoami me renvoyant l'identité root et je suis assez impressioné de la simplicité de la faille, le genre de faille trop grosse pour y penser, ça m'a fait rire honnêtement.
Ceci étant en prenant du recul cette faille tient à 99% de la faculté ou non de l'utilisateur à raisonner et à avoir un esprit critique face à ce qu'il récupère avant de l'exécuter, ce qui me fait encore plus rire.
(oui ça fait beaucoup de rires)
NB : de nombreuses personnes sur tiger semblent ne pas arriver à mettre en défaut le système, des personnes pour confirmer?

avatar lechneric | 

En tous cas les Troyens sont la pour attaquer votre porte monnaie ... bientôt les soldes
http://www.troyesmagusine.com/
;-))

avatar Etienne000 | 

J'ai une question : si je n'utilise pas de commandes apple script je ne risque rien ?

avatar Atlante | 

@Lamar
Désolé... Bisous.. Papa!!! :D

avatar Atlante | 

@spirit
D'ailleurs cette faille est elle Intel-only? A ce que je sache, même si les derniers Ibook n'étaient évidemment pas livré avec frontrow, Leopard le leur a fournit non?

avatar Atlante | 

pardon j'ai confondu frontrow et apple remote desktop... mauvaise interprétation, j'aurai du relire la news. Ceci dit, je ne vois pas du tout en quoi cette faille ne pourrait pas affecter les PPC...

avatar Hindifarai | 

@Atlante
Oui frontrow est dispo sur ppc avec leopard.
Oui la faille touche également les systèmes 10.5.* sur ppc (pour tiger il y a des infos contradictoires et je n'ai plus tiger d'installé pour tester).

avatar Orus | 

Il faut vraiment avoir un esprit de merde et être un sombre cretin pour programmer une saloperie pareil. Honnis soit celui qui l'a fait et qu'il en meurt.

avatar oomu | 

évidemment qu'il y a des virus sur mac. je viens d'en écrire 2 ce matin.

mais comme d'hab, j'ai pas de moyen de vous FORCER à le démarrer sur VOTRE ordinateur sans que vous ayez bougé le petit doigt.

-
cela dit je vous le répète en BOUCLE, NON n'exécutez PAS des trucs dont vous ne savez rien ni la provenance.

Simple hygiène de vie.

avatar Le Chapelier | 

Je m'explique pour messieurs .Spirit. et Jerry Kahn : procs Intel => on rassure les cousins d'en face => franchissemnt du pas PC -> Mac => plus de part de marché pour Apple => plus de mecs à em... avec des virus => développement de virus pour OS X. Si le Mac n'avait pas basculé Intel, il serait resté dans l'anonymat qui me plait tant donc sans vérole.

avatar Ziflame | 

@Le Chapelier

Ah oui c'est vrai que le Mac sous PPC n'était connu que si on était membre d'une secte et il se vendait de la même manière qu'aux soirées Tupperware...

avatar PA5CAL | 

J'ai testé, et ARDAgent permet effectivement d'exécuter un script en "root", sous [b]Tiger[/b] et sur un Mac [b]PPC[/b]. À noter toutefois que lorsque l'opération est réitérée, on n'est plus nécessairement "root" les fois suivantes.

Pour ma part, [b]jamais[/b] je n'ai fait (ni ne ferai à court ou moyen terme) d'[b]administration à distance[/b] de mon Mac en utilisant ARDAgent. Et pour faire du VNC, j'utilise d'autres logiciels. ARDAgent ne m'est donc d'aucune utilité.

Alors pour régler définitivement le problème, je me suis contenté de mettre ARDAgent en quarantaine (sous "root", sauvé dans une archive "au cas où", puis [b]effacé[/b]). L'application ne peut plus être exécutée par le script fautif parce que le système ne la retrouve plus.

Me voilà vacciné. Je n'ai plus à craindre qu'un des (jeunes) utilisateurs de mon Mac clique (par inadvertance ou par curiosité) sur un programme exploitant la faille.

avatar olm | 

Tapez pas trop sur les mac intel, de un ils marchent bien, de deux si apple avait continuer sur ppc et reussi à atteindre les perf actuelles pour le même prix, on verrais des switcher quand même, car les switcher n'installent pas tous windows sur leur mac.

Sinon, sous tiger, je ne vois pas ce qu'il faut faire pour se protéger, je ne flippe pas trop, mais, si j'ai bien compris, le cheval pourrais se "glisser" dans un autre soft (qui ne serrais pas louche), et s'executer sans demande de mot de passe..?

avatar .Spirit | 

[quote]Le Chapelier [20/06/2008 15:19] (effacer) (editer)

Je m'explique pour messieurs .Spirit. et Jerry Kahn : procs Intel => on rassure les cousins d'en face => franchissemnt du pas PC -> Mac => plus de part de marché pour Apple => plus de mecs à em... avec des virus => développement de virus pour OS X. Si le Mac n'avait pas basculé Intel, il serait resté dans l'anonymat qui me plait tant donc sans vérole.[/quote]

Ca c'est vrai, je suis d'accord. Par contre on ne peut pas trop se plaindre de l'essor d'une entreprise qui nous rend des services, non ?
Mais bon, l'épisode Mac Intel n'est pas "seul" cause de cette hausse de PdM, c'est toute la politique d'Apple qui est en cause. intel n'a rien à voir là dedans (enfin en même temps tu n'as pas dit ça non plus :p).

[quote]olm [20/06/2008 15:32]car les switcher n'installent pas tous windows sur leur mac.[/quote]

Certes, mais cela les rassure aussi. Personnellement j'en suis un de switcher. Et je ne sais pas si j'aurais switché si je n'avais pas eu la possibilité d'installer Windows si jamais Mac OS X ne me plaisait pas. Car on n'a pas l'occasion de le tester malheureusement, si ce n'est à la fnac, mais bon, par exemple la fnac la plus proche de chez moi est à lille... j'habite à Lens. Ce n'est même pas le même département !

avatar Un Vrai Type | 

@ seblesi : Ce n'est pas un virus, mais un malware.
A copier 100 fois.
Merci.

avatar Jerry Khan | 

le chapelier -------> ce n'est pas un virus. Tu me le copieras 1000 fois 1 fois.

avatar Philactere | 

supermoquette [20/06/2008 11:03]
[i]C'est assez comique de devoir activer un service supplémentaire pour prendre moins de risque… [/i]

En effet c'est bien la chose qui m'a le plus choqué dans cette news !

avatar legolas | 

[b]Makhno [20/06/2008 10:37] [/b]
[i]Moi je dis, faut pas être totalement net pour lancer un truc au nom pareil sans savoir d'où il vient...5[/i]

Non, au contraire, il faut être 100% .NET ;-)

avatar Jerry Khan | 

on peut savoir pourquoi tout ce qui se rapporte à intego a été censuré ?

CONNEXION UTILISATEUR