Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

'Carbonkeys trojan Server' : c'est quoi ? (j'ai peur de la réponse)

1 réponse
Avatar
Pierre
Bjr,

Sans vouloir être alarmiste, je vous envoie ce petit post pour vous
faire part de la présence de l'application 'Carbonkeys trojan server
1.2' sur le mac d'un de mes amis !!!!!

Le nom du fichier est suffisamment évocateur pour que je rédige ce petit
post afin de prévenir la communauté des utilisateurs Mac afin qu'elle
puisse :
1/ être au courant l'existence de cette application (devrais-je dire
trojan)
2/ m'en dire plus sur cette application pour laquelle il n'y a pas
grand chose sur le net

Je travaillais sur une machine sur laquelle tout allait très bien (pas
de ralientisement, ...). Ce poste n'avait jamais fait l'objet d'un
quelconque redmarrage depuis plusieurs semaines. J'ai du le rebooter
afin de le mettre en mode target (touche T au démarrage) pour le
brancher sur un autre Mac. Une fois terminé, j'ai rebooté ce poste en
mode normal. Quelques minutes plus tard j'ai noté un fort ralentissement
sur poste.

J'ai lancé 'terminal' puis visualisé la liste des process par la
commande 'ps ax' et ai noté la prsence d'un process intitulé :
/Users/Pierre/Library/Preferences/CarbonKeys Trojan Server 1.2 ....

J'ai killé ce process puis tout est redevenu normal (plus de
ralentissement)

Lorsqu'un fait un ls -l dans le répertoire
/Users/Pierre/Library/Preferences/
j'ai visualisé :

-rw------- 1 pierre pierre 465 Jan 22 04:44 CarbonKeys Client 1.2.plist
-rw-r--r-- 1 pierre pierre 1657268 Apr 9 2004 CarbonKeys Trojan
Server 1.2

Ce programme n'appartenant pas l'administrateur, j'imagine qu'il n'a
pas eu besoin de demander le mot de passe admin pour s'installer, ai-je
raison ?

Dans les 'préfrences systemes' j'ai noté que ce process était en
lancement automatique au démarrage de la session (avec masquage de
l'application).

Maintenant à moi de trouver comment ce soft est arrivé là ? Que fait-il
précisément (que deviennent les touches que j'ai tapé ? Sont elles
restées dans un fichier local ? lequel ? Ont elles été envoyes sur un
serveur ? Lequel ?, ...)

Le firewall 'Little snitch' ne s'étant pas déclenché sur le poste en
question, je suppose (peut être tort) qu'aucune donne n'a été expédiée
l'extrieur mais cela reste à vérifier.

On trouve très peu de pages d'infos sur Google sur ce programme :
http://www.google.com/search?hl=fr&lr=&q=%2Bcarbonkeys%20trojan%20server&
qt_s=Rechercher&sa=N&tab=gw


merci de vos lumières

1 réponse

Avatar
Pierre
Bon je viens de comprendre ce qui s'est passé !

j'ai pu trouvé dans l'historique de téléchargement de safari que mon
copain a téléchargé VOLONTAIREMENT (quel âne) dimanche dernier le soft
CarbonKeys !!! puis a lancé l'application qui s'est automatiquement
installée d'office dans son répertoire 'préférences' et mis en lancement
automatique au démarrage puis a créé un dossier nommé
com.hyper.keyd.folder (dans le même dossier préférences

Le logiciel CarbonKey est un exemple de trojan fourni avec les sources
(en Realbasic). La page web à partir de laquelle il a trouvé CarbonKeys
est :
http://dallasaddress.com/Max/whiterabbitlane/downloads.htm
(on y trouve d'ailleurs d'autres softs liés à la sécurité)

Après analyse détaillée de son mac, j'en ai tiré les conclusions
suivantes :

L'application ne s'est pas installé toute seule (ouf rassuré)
Aucun mot de passe admin n'a été demandé
aucune donnée n'a été envoyée à l'extérieur

Rien à craindre, cette application n'infectera pas de manière invisible
vos machines.