"mshelper", une activité suspecte et gourmande sur certains Mac
Un Mac qui rame ou une autonomie qui fond plus rapidement de la normale, peut-être est-ce la faute de "mshelper" Un possible malware qui tire sur les ressources de la machine et sans que ses intentions soient affichées.
Des utilisateurs sur les forums d'Apple ainsi que sur Reddit ont noté cette présence soudaine via l'utilitaire Moniteur d'activité. Cochez l'onglet "Processeur" et faites une recherche sur "mshelper" pour voir s'il est dans la liste des processeurs en train de tourner. Chez ces utilisateurs il déploie une énergie considérable comparé aux autres.
Il n'y a pas encore de détails sur ses origines — peut-être ces utilisateurs ont-il manqué de prudence à un moment ou un autre — ni sur ses objectifs, mais on peut le faire taire en allant effacer des fichiers à ces deux endroits :
Bibliothèque/LaunchDaemons/com.pplauncher.plist
Bibliothèque/Application Support/pplauncher/pplauncher
Le premier dossier Bibliothèque est à la racine de votre disque dur, le second à celle de votre dossier utilisateur.
A tous les coups c'est du mining de crypto
@Gu1k
Je comprend pas le fonctionnement de la cryptomonnaie et pourquoi tout le monde en parlait il y a quelques mois...
@IPICH pour faire simple, le principe c'est de résoudre de équations qui servent à valider les échanges de crypto-monnaie, et en échange on récolte quelques parties de crypto monnaie. Sauf que plus on avance plus la somme offerte diminue, jusqu'à finalement tendre vers 0.
La puissance à développer est donc proportionnellement plus forte pour pouvoir récolter quelque chose de significatif. (et je crois que les équations se complexifie également).
On sait donc à l'avance quelle quantité de crypto-monnaie on aura au final.
Ça pousse donc certaines personnes à trouver des personnes qui minent pour elle ;)
L'argent est basé sur la confiance sur la capacité à rembourser un prêt.
La carte bleue est appréciée car elle garantie les fonds.
Le chèque est dépréciés car il comporte un risque par rapport à la confiance.
On peut considérer un carte de fidélité comme une monnaie, vous adhérez car c'est sûr qu'un jour la carte vaudra 100€ de réduction par exemple !
Vous acceptez les billets vous vérifiez parfois leur authenticité. Toujours la confiance et les garanties qui l'entoure !
Les monnaies numériques c'est une histoire de confiance et de sécurité de paiement et sûr qu'elles sont acceptés pour ce qu'elles valent. Et en numérique la sécurité la garantie la confiance c'est le cryptage (minage).
La banque vérifie tout de vous avant de créditer votre compte lors d'un "prêt". L'argent qu'elle n'a pas mais qu'elle inscrit sur votre compte est basée sur la confiance que la banque a en vous pour être "remboursée" et ainsi créer de l'argent (c'est vous qui le créez par votre travail et non la banque, la banque crée de l'intérêt)
@Maxime A.
Aaah d'accord je comprend un peu mieux le principe maintenant.
Merci☺️
@IPICH
«Je comprend pas le fonctionnement de la cryptomonnaie et pourquoi tout le monde en parlait il y a quelques mois...»
Rassures toi, pas grand monde comprend comment fonctionne les crypto-monnaies car elles reposent sur des principes mathematiques complexes qui font intervenir plusieurs domaines mathematiques comme la theorie des graphes, la cryptographie, les probabilités,... et son administration est aussi complexe puisque repartie sur une architecture P2P qui va a l'inverse total des modèles monétaires centralisés habituels.
Le fait que ce soit un sujet d'actualité c'est pour une simple raison: leurs réalisations actuelles permet une dimension spéculative phénoménale.
Apres il y a tout un tas de mythes et croyances (dont celui de l'anonymat...) qui en font aussi un sujet de prédilection dans la veine sensationnaliste des media.
Un des gros probleme avec les cryptomonnaies actuelles c'est ce qu'on nomme le minage, qui d'une maniere simplifiée est le mecanisme de validation de transaction.
Comme il n'y a pas d’autorité centrale ni de principe interne qui certifie une transaction, la certification repose sur l'ensemble du reseau (P2P) qui enregistre donc la transaction (écritures) et sa validation (valeur emise, valeur reçue) repose sur un principe bete: la résolution d'une équation cryptographique mettant en concurrence les membres du réseau. La resolution de cette equation necessite de la puissance de calcul mais aussi un d'acces au reseau...
La ou c'est tres pervers c'est qu'il y a une incitation pour résoudre cette équation: l'attribution d'une valeur en crytomonnaie qui renforce le principe de concurrence...
En découle qu'un moyen de "gagner" de la cryptomonnaie c'est de disposer d'une puissance de calcul et d'une vitesse de connexion supérieure a la moyenne du reseau...
Et la complexité de l'equation augmente avec la puissance du reseau... donc plus le réseau génère rapidement de la valeur, plus le cout de génération de valeur augmente... et c'est exponentiel.
C'est pervers parce que ce type de système concurrentiel tend irrémédiablement vers un modèle monopolistique et centraliste, violant le principe de l'architecture P2P qui seul garantie le fonctionnement et la fiabilité de la cryptomonnaie.
Et on voit le problème aujourd'hui avec les "fermes de calcul" qui sont des monstres énergivores et qui présentent un danger massif: ce sont des cibles faciles pour les hacker et les autorités.
Pour faire s'effondrer une cryptomonnaie, il suffit d'attendre que 80% (voire certains avancent que 40% suffiraient) des transactions soient certifiées par quelques grosses fermes de calcul, puis d'attaquer ces fermes (DDoS, flooding, deconnexion internet ou energetique)...
A ce moment, l'allongement brutal du temps de validation des transactions paralyse l’économie d’échange et plus encore spéculative et donc le cours s'effondre mécaniquement...
Et de ce danger majeur et inéluctable propre a la realisation de la plupart des cryptomonnaie en genere un secondaire: c'est celui de bulle.
L'importance de la valeur speculative et le rapport vitesse/volume transactionnel conduisent a des niveaux de croissance monstrueux (doublement en quelques mois) qui vont littéralement s'effondrer a la moindre rumeur de restriction energetique, ralentissement du reseau, controle et réglementation des fermes de calcul, penurie de materiel...
Le troisième danger c'est la croissance du coût de validation. Valider une transaction aujourd'hui est beaucoup plus cher qu'il y a 2 jours... On image ce qui se passe lorsque le cout de la validation est équivalent a la valeur de la transaction.
Ce qui rend la plupart des cryptomonnaies impropre a une économie de consommation...
@C1rc3@0rc
Merci pour cette explication très claire.
@pim
Merci pour ton commentaire :)
Je sais que le sujet est tres complexe, mal connu, mal traité et utilisé comme "tete de gondole" par les media face a une population laissée dans l'ignorance. Il est difficile de faire la part des choses et de rester accessible sur ce sujet. Si j'ai pu arriver a un peu eclairer cela j'en suis content!
Bonjour
Cette explication, bien qu'empiriquement correcte si on la limite aux crypto-monnaies dépendante du Proof of Work de première génération (le système de minage que tu décrit), oublie une chose très importante : les crypto-monnaies ont énormément évolué depuis que le Bitcoin est apparu, et tout les problèmes que tu soulèves sont en fait déjà corrigés par de nouvelles cryptos. Le mining est déjà dépassé, puisque des système alternatifs ont déjà été imaginés et mis en place. Le Proof of Stake en est la meilleure itération. Une migration d'une crypto du système PoW vers le PoS est tout a fait possible sans mettre en danger les actifs existants : l'Ethereum va justement effectuer ce changement très prochainement. Le Cardano (ADA) est aussi une très belle démonstration de la faisabilité de la chose. LeProof of Stake résoud entre autre le problème de puissance énergétique gaspillée (https://fr.wikipedia.org/wiki/Preuve_d%27enjeu). De plus, tu ommets de parler de la chose la plus importante : les smart contracts. L'Ethereum a lancé ça, pleins d'autres (dont le Cardano) le reprennent en l'améliorant. Les possibilités sont immenses et cela va très probablement révolutionner la manière dont les services sur le web fonctionnent. Deux exemples pour illustrer ça :
1. un système de traçage de denrées alimentaires : (http://www.gazelle.in/BCSCM.pdf). Un producteur utilisant cette techno peut marquer ses banannes avec un code QR 3d. Ainsi, toute la chaine de distribution jusqu'au consomateur final met à jour la blockchain à chaque incrémentation de valeur ajoutée (transport, emballage, conditionnement....). Au final, autant le disributeur que le client final peut de manière indépendante de la supply chain connaitre la provenance et le parcours de la marchandise en question. On élimine le middle man.
2. un système de stockage de données décentralisé (https://sia.tech) Ce système permet à toute personne qui installe le logiciel de soit mettre à disposition une partie de son disque dur pour fournir du stockage en ligne soit louer l'espace de stockage mis à disposition par les autres utilisateurs (on peut faire les deux en même temps). La location se paie en SIA coins. Ainsi, les données sont concaténées et dispersées en plusieurs copies sur différents disques dur dans le monde. Pas de centralisation, pas de risque d'analyse des données par Google cloud ou Amazon ou Apple. Une solution aussi qui élimine le middle man.
Ce ne sont que deux exemples qui démontrent ce qui est possible d'attendre de la crypto. Cela va bien au-delà de la simple monnaie.
Les crypto monnaies ne sont pas juste un effet de mode, au contraire elles vont profondément modifier la manière dont le web fonctionne. C'est exactement la même chose que ce qui s'est passé à la fin des années 90 avec l'apparition de Google, Amazon et consort. Il y a ceux qui voient le potentiel, et ceux qui disent que c'est juste une mode et que ça ne sert à rien.
Attention, cela ne veut pas dire que ce sont les coins de maintenant qui seront forcément utilisés plus tard, il est possible que les coins actuels ne font qu'essuyer les plâtres. Mais ça, impossible de le savoir.
@guibrush
Je n'aborde que la question des crypto-monnaies classiques et pas de la blockchain et de ses applications ou même de ses principes techniques.
Aujourd'hui la population connait le terme Bitcoin (qui est devenu un terme generique) et minage, entend parler de menace par des sites qui utilisent leurs machines pour faire du minage a leur insu, entend parler de blanchiment, d'utilisation frauduleuse des bitcoins, de la bulle speculative, de la penurie de GPU a cause des mineurs...
Il faut donc repondre simplement aux questions posées et qui concernent la population. Tu abordes des aspects techniques interressant mais complexes, en developpement, d'alternatives potentielles, de 1ere generation... ça complique encore plus choses et rend le sujet encore plus obscure. Et justement la peur et l'erreur nait de l’incompréhension.
Si on est d'accord que les crypto-monnaies comme le Bitcoins sont bientot du passé, elles ont l'avantage d'avoir amené la technologie de la blockchain et d'en avoir fait la promotion et focalisé beaucoup de gens sur le développement de ses principes, réalisations et utilisations.
@ C1rc3@0rc :
Autant je suis d'accord à 100% avec ton analyse, autant je ne crois pas que la manière dont tu la présente dans ta synthèse soit la bonne pour répondre aux personnes ne comprenant pas la crypto-monnaie justement.
Tu ne présente que les aspects négatifs (qui bien entendu existent, je ne dis pas le contraire) mais jamais tu n'abordes les aspects positifs, c'est pour cela que je me suis permis de compléter ton propos. Je ne penses pas que décrire les évolutions ainsi que les applications possibles concrètes contribue à la peur et à l'incompréhension, au contraire, de mon point de vue cela permet de mieux évaluer le potentiel de la blockchain en général. Mais il y a un point sur lequel le suis d'accord : le sujet est vaste et ne peut pas être simplement résumé dans un post sur un forum. Néanmoins, je trouve dommage que la crypto-monnaie soit systématiquement présentée sous son mauvais jour (qui existe bien, j'insiste là-dessus) mais qu'on ne parle jamais de ses futures apports. Dans 10 ans, on se dira "comment faisait-on sans la blockchain ?" comme on se dit maintenant "comment faisait-on sans Google ?".
@guibrush @c1rc3@0rc
Vos explications ont l’avantage d’être complémentaires et claires. Merci à vous deux.
@guibrush
« Tu ne présente que les aspects négatifs (qui bien entendu existent, je ne dis pas le contraire) mais jamais tu n'abordes les aspects positifs, »
C’est le principe de base de Circé quitte même à inventer des aspects négatifs de toute pièce si nécessaire ?
@guibrush
"Autant je suis d'accord à 100% avec ton analyse, autant je ne crois pas que la manière dont tu la présente dans ta synthèse soit la bonne pour répondre aux personnes ne comprenant pas la crypto-monnaie justement.
Tu ne présente que les aspects négatifs (qui bien entendu existent, je ne dis pas le contraire) mais jamais tu n'abordes les aspects positifs"
C’est sa marque de fabrique ?
@C1rc3@0rc
D'accord merci pour toutes ces explications☺️
MS ? Ces initiales me font penser à une entreprise du secteur de l’informatique
Encore un coup de Redmond!
Ou plutôt un coup de quelqu'un qui tente de faire croire qu'il s'agit d'un processus anodin.
j'ai envie de vous dire m comme miner et s comme Sploit car ca passe en TCP port 14444 ce qui devrait rappeler des choses aux spécialistes en infosec ;)
Un programme dont le nom commence par "MS" ne peut être que suspect !
@umrk
Oui mais heureusement sur Mac il n’y a ni malware ni virus
@umrk
«Un programme dont le nom commence par "MS" ne peut être que suspect !»
Surtout quand il provient d'un soft d'Adobe... ;)
C'est sûrement la mise à jour gratuite vers Windows 10, je ne vois que ça.
C’est pire que ça: on a besoin d’un résultat toutes les dix minutes. Comme les gens on plus de puissance de calcul, on augmente la complexité (pour le bitcoin c’est en gros tous les 2 jours)... donc avec la même puissance de calcul, on trouve moins de résultats, donc on cherche plus de puissance pour trouver plus et donc gagner plus, donc on augmente la complexité et ainsi de suite...
pour réduire le coût d’une transaction, et ainsi augmenter l’adoption de la crypto devise, on diminue la prime à chaque résultat trouvé, donc les mineurs gagnent moins, donc les mineurs cherche à miner plus et on amplifie encore plus le phénomène !!!
Tout cela fait que plus le temps passe et plus la dépense énergétique pour cet argent qui n’existe pas en vrai, augmente de façon exponentielle... aujourd’hui l’électricité d’un pays comme l’Irlande ne suffit pas pour fournir les fermes de calcul du bitcoin (et il t’y en a d’autre!)
Le pire c’est que, le coût du minage c’est principalement le coût de l’électricité... donc les fermes sont hébergées en chine ou l’électricité n’est pas cher... or ce sont majoritairement des centrales à charbon qui polluent ! Bonjour les dégâts !!!! :-(
C'est comme en vrai, finalement le papier ne polluait pas tant que ça, que ce soit pour écrire ou payer !
Pitié... le verbe crypter ça n’existe pas!!!!
On part de chiffrement et de déchiffrement. Le décryptage est une opération visant à déchiffrer une donnée chiffrée sans en connaître la clé (on casse la clef si on décrypte avec succès ). Crypter n’a donc aucun sens (chiffrer sans connaître la clé ????)
La seule exception (par déformation de la langue) c’est le qualificatif des chaînes chiffrées (comme canal +) ou on parle de chaîne cryptée... même si c’est de l’abus de langage!
En plus, de le cadre de la technologie blockchain (comme les données, ici les transactions, sont publiques) il n’y a pas de chiffrement, mais une signature numérique pour garantir que les données ne sont pas altérées.
Il est détectable via Little Snitch ?
Il doit bien tenter de se connecter au web ?
Merci pour votre réponse.
oui, mshelper tente d'établir une connexion via TCP en port 14444 vers quelque chose comme "xmr-us-east1.nanopool.org" et devrait donc faire klaxonner LS. D'une manière générale il y a une envolée de processes pour miner vos ordis, vous les reconnaitrez facilement car basé sur xmrig pour la plupart et tentant donc d'ouvrir des connexions vers des domaines comportant xmr tel que xmrpool ou encore minergate.
Quelques précisions pratiques concernant mshelper; ca se passe en 2 temps. Le "dropper" celui qui va vous l'enfoncer dirons nous écrit bien ces 2 éléments, je suppose en contexte root:
/Library/LaunchDaemons/com.pplauncher.plist
/Library/Application Support/pplauncher/pplauncher
Le premier est chargé via launchd et assure la persistence du "payload" soit pplauncher
pplauncher chaque fois qu'il est chargé, donc tracable dans le moniteur d'activité sous ce terme, écrit et charge en process celui qui mine (de rien ah ah oubliez donc cette parenthèse) votre ordi: /private/tmp/mshelper/mshelper
Ce sont tous deux des executables, connus des puristes sous le terme de Mach-O.
Si pplauncher est interrompu, mshelper meurt de lui même.
Comme les gens partagent plus du blahblah que de la valeur de nos jours, je n'ai pas eu en main le plist com.pplauncher.plist donc je ne peux pas dire comment il assure la persistence du malotru (je vais pas rentrer dans les détails de launchd ici) mais il est important de préciser qu'éliminer com.pplauncher.plist et pplauncher ne suffisent sans doute pas: il faut redémarrer son Mac, ce qui permettra d'effacer par la même occasion mshelper dans le dossier /tmp.
Si il vous est impossible de redémarrer, un petit passage dans le terminal est recommandé avant que d'effacer ces fichiers:
$ sudo launchctl list | grep -v com.apple* (ca vous liste toutes les bestioles chargées sans lister sous les termes com.apple en theories donc celles d'Apple)
vous allez sans aucun doute voir com.pplauncher si c'est le label retenu (généralement le nom du plist correspond au label mais pas toujours, méfiance).
Pour découvrir le nom du label:
$ sudo defaults /Library/LaunchDaemons/com.pplauncher.plist Label
Le label est juste intéressant si on veut mettre en pause l'agent avec $ sudo launchctl start (démarage) ou $ sudo launchctl stop (arrêt)
C'est un peu comme arrêter un film et le reprendre plus tard sur sa TV au même endroit.
Pour décharger proprement la persitence:
$ sudo launchctl unload /Library/LaunchDaemons/com.pplauncher.plist
Regarder dans votre moniteur d'activité si vous avez des processes pplauncher ou mshelper, tuer les. Important dans le menu View il faut afficher tous les processes.
Et là cette persistence est proprement évacuer et vous pouvez ensuite effacer les deux fichiers.
Niveau "code", rien de nouveau sous le soleil du minage on retrouve des méthodes usitées par ailleurs. Pour le fameux "dropper", le méchant qui installe et propage la chose: pas trouvé encore mais je cherche, peut être d'autres l'ont déjà trouvé je devrais zieuter Twitter... Mais je pense que les éditeurs d'AV le détectent; par contre comme ces executables (ceux installés) évoluent très vite, la détection AV est plus vicieuse à faire suivre sur ce qui minent à moins d'avoir des équipes chargées au tracking H24 de ces executables (ca flood beaucoup et on rencontre presque autant de variants que dans le domaine des Adware...). C'est pour ça que XProtect ou MRT seront mis à jours que si Apple a un pattern de signature en béton. ;)
Pour finir je présente mes excuses à la langue française ou pour les coquilles que j'ai pu glisser dans ce texte: pas le temps de me relire proprement... J'ai une excuse de taille: celle de trainer avec macinside. :p
@Fredo
Merci beaucoup pour vos explications très détaillées :-)
J'ai une mauvaise autonomie sur mon MacBook Pro 2016 depuis quelques mois.
De 15 à 16h d'autonomie, je suis passé à 6h maximum.
J'ai réinstallé ma machine pensant à un soucis logiciel, puisqu'Apple n'a diagnostiqué aucun problème sur ma batterie quand je suis allé en Apple Store, mais après réinstallation, même soucis...
J'ai réinstallé mon Mac la semaine dernière mais j'ai quand même regardé si ce mshelper était présent, mais non. Du coup, je ne comprends pas. :(
A priori ça corresponds avec une mise à jour de macOS High Sierra (10.13.2 ou 10.13.3).
Je suis sur macOS 10.13.5 (beta développeur).
@LolYangccool
Perso depuis que j’ai mon MacBook Air en 2010, j’ai toujours eu des changements d’autonomie énorme en fonction des versions... là actuellement c’est plutôt bon sur la dernière version
@armandgz123
Bah en général elle est stable chez moi. J’ai eu pas mal de Mac portables depuis quelques années et jamais je n’ai eu autant de différences comme ici. :(
@LolYangccool
C’est étrange, j’espère que ça va s’arranger pour toi avec les prochaines mire à jour rapidement
Oui, pour tout dire j'hésite à repasser sur Sierra juste pour ça, je n'ai jamais eu à me plaindre d'High SIerra, sauf niveau autonomie à partir de la 2 ème ou 3 ème mise à jour.
Mais comme macOS 10.14 sera dispo pour nous qui sommes enregistrés comme développeurs, certes en beta, d'ici deux grosses semaines, je vais essayer d'attendre jusque-là, et faire une clean install dès la mise à disposition du nouvel OS.
Je vérifierai bien quand même qu'elle soit correcte sur Sierra, histoire de vraiment écarter le soucis matériel. Mais bon, de toute façon le technicien chez Apple a refusé toute réparation puisque ma batterie est en pleine santé d'après lui...
@LolYangccool
C’est peut être tout simplement ta batterie qui n’est plus de toute première jeunesse. Qu’indique Coconut Battery ?
Bah Apple l'aurait détectée.
iStat Menu et coconutBattery m'indiquent tous les deux 96% de santé pour 172 cycles...
Mon Mac est de mars 2017, modèle d'octobre 2016 avec Touch Bar.
Laisse-le tourner quelques heures et va voir dans l'onglet Énergie du Moniteur d'Activité, il y aura peut-être une info intéressante.
Rappel pratique, MalwareBytes a une application Mac gratuite 30jours pour détecter et supprimer ce genre de cochonnerie ?
Je remarque que sur les forums Apple, le mec touché par la chose avait installé Sophos qui visiblement ne sert à rien.
MSHELPER est un processus appartenant à office. Les utilisateurs ayant office 365 ou antérieur sont donc impactés
@ruru75020 => Office 365 est installé sur les 4 Mac de la maison et aucun n'a MSHelper qui tourne dessus.
méfiance: le propre de passer inaperçu est de se faire remarquer. Dans le domaine des Malware, les méchantes bestioles installées dans votre Mac cherchant toujours à passer inaperçues en épousant des noms similaires à d'autres processes ou produits. Jamais en mettant un chasuble Orange fluo... Rarement Microsoft écrira ses trucs dans /private/tmp. Je ne vois que BitDefender pour écrire certains de ses fichiers à la racine du dur (soit / ). :D
Bon, je n'ai rien de tel qu'un "ms helper" sur mon Mac. D'où l'intérêt de ne pas télécharger n'importe quoi.
Et « msj.helper » c’est pas le cousin de mshelper ?