Au secours, on aurait trouvé un virus sur mon Mac... en plus un seul...

Le
Jacques Perrocheau
Bonjour,


Je viens de recevoir une injonction de notre CRI libellé de la façon
suivante:

--
Bonjour,
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?
Merci
Cordialement
XXXXX XXXXXXXXXXX

--

XXXXX XXXXXXXXXXX

Université de Rennes 1 - Avenue du Gal Leclerc
35042 Rennes Cedex -
--


Info ou intox ?


Je n'ai pas constaté d'activité anormale sur cette machine (PowerMac G4
sous Mac OS X 10.4.11), avec Activity Monitor et en faisant des:

netstat -an | grep ESTABLISHED

ou

netstat -an | grep LISTEN

AMHA, si c'est grave, c'est à dire si ma machine "bave" sur le réseau,
ce que Net Monitor ne me montre pas, il m'aurait fermé sur le routeur,
le port Ethernet au quel je suis connecté (ils l'ont déjà fait ailleurs).

Comme je n'ai pas l'intention de réinstaller tout en ce moment, j'ai
trop de boulot, n'y aurait-il pas un bonne âme, un pro des réseaux, pour
m'indiquer une manip pour montrer que ma machine n'a pas d'activité
réseau anormale.

J'ai wireshark @1.0.0_0+darwin_8 (active) d'installé sur cette machine.


Si j'ai des virus pc sur ma machine cela me regarde, et c'est possible,
car je viens de sauver du désastre une machine sous Windows 2000 en
copiant sur cette machine une bonne partie des fichiers de
l'utilisateur. A tout hasard, pour en avoir le coeur net je fais en ce
moment un scan avec Virex 7.2.1 en ayant mis à jour les définitions de
virus.

P.S. Ecrire Mac comme une adresse MAC, de la part d'un informaticien
c'est choquant, ne trouvez-vous pas ? ;-)

--
Jacques PERROCHEAU
CNRS UMR 6226
Université de Rennes 1, Campus de Beaulieu, 35042 RENNES Cedex, France
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Eric Levenez
Le #7097781
Le 25/06/08 20:07, dans Perrocheau »
Je viens de recevoir une injonction de notre CRI libellé de la façon
suivante:

-----
Bonjour,
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?



La cellule n'est pas sûre ?

Info ou intox ?



Tout est possible, mais si c'était le cas ils devraient donner le non du
virus.

Peut-être as-tu simplement forworder un email contaminé (porteur sain)...

Je n'ai pas constaté d'activité anormale sur cette machine (PowerMac G4
sous Mac OS X 10.4.11), avec Activity Monitor et en faisant des:

netstat -an | grep ESTABLISHED

ou

netstat -an | grep LISTEN



Cela fait plusieurs fois que je vois ces commandes. C'est plus compliqué à
taper et beaucoup moins informatif que le classique "lsof -i"

AMHA, si c'est grave, c'est à dire si ma machine "bave" sur le réseau,
ce que Net Monitor ne me montre pas, il m'aurait fermé sur le routeur,
le port Ethernet au quel je suis connecté (ils l'ont déjà fait ailleurs).



Tu bavais ? :-)

Comme je n'ai pas l'intention de réinstaller tout en ce moment, j'ai
trop de boulot, n'y aurait-il pas un bonne âme, un pro des réseaux, pour
m'indiquer une manip pour montrer que ma machine n'a pas d'activité
réseau anormale.



Réinstaller une machine parce qu'un email suggère que tu aurais un virus
sans voir la machine ?

J'ai wireshark @1.0.0_0+darwin_8 (active) d'installé sur cette machine.



Connais pas, mais c'est encore un soft d'analyse de réseau. Certains de ces
softs font de nombreuses requêtes DNS pour résoudre les noms de tout ce qui
passe... Peux-être que tu "baves" trop...

Si j'ai des virus pc sur ma machine cela me regarde, et c'est possible,
car je viens de sauver du désastre une machine sous Windows 2000 en
copiant sur cette machine une bonne partie des fichiers de
l'utilisateur. A tout hasard, pour en avoir le coeur net je fais en ce
moment un scan avec Virex 7.2.1 en ayant mis à jour les définitions de
virus.



Virex existe encore ? C'était pas le soft qui effaçait tous les dossiers de
Mail dès qu'il voyait UN email avec virus ?

P.S. Ecrire Mac comme une adresse MAC, de la part d'un informaticien
c'est choquant, ne trouvez-vous pas ? ;-)



Sûr. Je suis sûr qu'il ne sait pas la différence entre Mac OS et Mac OS X,
sauf que "c'est pas compatible" et "qu'un MAC ça coûte trois fois plus cher
qu'un PC"... :-/

--
Éric Lévénez -- Unix is not only an OS, it's a way of life.
manet
Le #7097771
Jacques Perrocheau
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?




pas d'pan'

il ne t'a pas dit que tu émettais des cochonneries en permanence...

peut-etre que tu relayé un fichier word qui était bétement infetcé par
le PC initial, et que le destinataire a cafté...

peut-etre qu'il confond les annonces d'Appletalk ou de Rendez-vous avec
des virus...

le mieux est quand meme de lui demander comment il le sait, et
l'identification de la bestiole avec un lien vers un centre antivirus,
pour l'habituer à bosser proprement... parce que ce genre de message
manque complétement de professionalisme.

ou alors, c'est un farceur ; ou alors, il y a un farceur qui se fait
passer pour le CRI... ou un virus qui usurpe l'identité du CRI. Va
savoir...

courage, et tiens nous au courant !
jperrocheau
Le #8291791
Eric Levenez
> Info ou intox ?

Tout est possible, mais si c'était le cas ils devraient donner le non du
virus.

Peut-être as-tu simplement forwarder un email contaminé (porteur sain)...



C'est la seule chose qui me parait possible...

> Je n'ai pas constaté d'activité anormale sur cette machine (PowerMac G4
> sous Mac OS X 10.4.11), avec Activity Monitor et en faisant des:
>
> netstat -an | grep ESTABLISHED
>
> ou
>
> netstat -an | grep LISTEN

Cela fait plusieurs fois que je vois ces commandes. C'est plus compliqué à
taper et beaucoup moins informatif que le classique "lsof -i"



OK merci.

[snip]
> J'ai wireshark @1.0.0_0+darwin_8 (active) d'installé sur cette machine.

Connais pas, mais c'est encore un soft d'analyse de réseau. Certains de ces
softs font de nombreuses requêtes DNS pour résoudre les noms de tout ce qui
passe... Peux-être que tu "baves" trop...



Il n'est pas lancé en permanence, quand même...

[snip]
Virex existe encore ? C'était pas le soft qui effaçait tous les dossiers de
Mail dès qu'il voyait UN email avec virus ?



Il était proposé gratuitement avec un abonnement .Mac. C'est pour cela
que je l'ai. Cela dit comme je n'ai jamais rencontré un virus depuis des
années ni dans mon mail ni dans mes téléchargement, je ne peux pas te
dire comment il se comporte. Peut-être qu'avec Mail, s'il rencontre un
virus il efface toute la boite Mail... Au labo j'utilise Eudora.

Merci à vous deux pour vos avis.

--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:
jperrocheau
Le #8291781
Philippe Manet
pas d'pan'

il ne t'a pas dit que tu émettais des cochonneries en permanence...

peut-etre que tu relayé un fichier word qui était bétement infetcé par
le PC initial, et que le destinataire a cafté...



C'est possible...

peut-etre qu'il confond les annonces d'Appletalk ou de Rendez-vous avec
des virus...



Oh! ;-)

Le protocole AppleTalk a été banni des routeurs, il y a déjà quelques
années, justement sous le prétexte que les Mac pouvant être des porteurs
sains étaient d'affreux diffuseurs potentiels de virus...

le mieux est quand meme de lui demander comment il le sait, et
l'identification de la bestiole avec un lien vers un centre antivirus,
pour l'habituer à bosser proprement... parce que ce genre de message
manque complétement de professionalisme.



C'est un peu mon avis, et je n'ai pas paniqué. Je n'ai pas débranché ma
machine et j'ai lancé le scan de Virex pour savoir si vraiment
j'hébergeais un virus.

ou alors, c'est un farceur ; ou alors, il y a un farceur qui se fait
passer pour le CRI... ou un virus qui usurpe l'identité du CRI. Va
savoir...



(?)

courage, et tiens nous au courant !



Je vous raconterai la suite.

--
Jacques PERROCHEAU
________________________________________________________________________
e-mail: mailto:
J.P. Poindessault
Le #8284481
In article Jacques Perrocheau
Bonjour,


Je viens de recevoir une injonction de notre CRI libellé de la façon
suivante:

-----
Bonjour,
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?
Merci
Cordialement
XXXXX XXXXXXXXXXX

--

XXXXX XXXXXXXXXXX

Université de Rennes 1 - Avenue du Gal Leclerc
35042 Rennes Cedex -
-----


Bonjour Jacques,

Le plus étrange est que l'auteur de ce mail, s'il est réellement RSSI ou son délégué, ne t'ai pas
donné le nom du virus et n'ai pas fermé ton port ou filtré ton IP.
Ce n'est pas à toi de vérifier si ta machine est propre, c'est à lui de démontrer qu'elle est "sale".
Tout du moins, ici à l'U. Poitiers, c'est notre procédure.

A plus pour la suite de tes péripéties.

Jean-Pierre
Saïd
Le #9637161
Jacques Perrocheau :
Bonjour,


Je viens de recevoir une injonction de notre CRI libellé de la façon
suivante:

-----
Bonjour,
Pouvez vous contacter la cellule informatique au XXXX, car votre MAC a
un virus ?
Merci
Cordialement
XXXXX XXXXXXXXXXX

--




Il veut que tu lui apportes ta machine pour y mettre un virus lui-même par
pûre jalousie.

--
Sind zu sein und es seiend in einem Schiff. Fällt zu sein hat das Wasser.
Wer bleibt er? -- Heidegger
patrick.1200RTcazaux
Le #9666251
Eric Levenez
Cela fait plusieurs fois que je vois ces commandes. C'est plus compliqué à
taper et beaucoup moins informatif que le classique "lsof -i"



Rien à voir avec la question initiale, mais je me suis amusé à taper
cette commande, et je trouve, entre autres, cette ligne dans les
résultats, qui m'intrigue :
Default 317 pat 10u IPv4 0x5d9c270 0t0 TCP
192.168.0.1:51422->stclairsoft.com:http (CLOSE_WAIT)

Qu'est-ce que stclairsoft.com vient faire là-dedans ?

--
Tardigradus
fx [François-Xavier Peretmere]
Le #9668321
on the 27/06/08 11:47 Tardigradus wrote the following:
Eric Levenez
Cela fait plusieurs fois que je vois ces commandes. C'est plus compliqué à
taper et beaucoup moins informatif que le classique "lsof -i"



Rien à voir avec la question initiale, mais je me suis amusé à taper
cette commande, et je trouve, entre autres, cette ligne dans les
résultats, qui m'intrigue :
Default 317 pat 10u IPv4 0x5d9c270 0t0 TCP
192.168.0.1:51422->stclairsoft.com:http (CLOSE_WAIT)

Qu'est-ce que stclairsoft.com vient faire là-dedans ?



Vu le site en question, je parie sur la vérification de mise à jour d'un des
softs de cet éditeur.

Fx

--
"Erotic is using a feather. Kinky is using the whole chicken."
-A.
patrick.1200RTcazaux
Le #9678311
"fx [François-Xavier Peretmere]"
Vu le site en question, je parie sur la vérification de mise à jour d'un des
softs de cet éditeur.



Oui, c'est ce que je me suis dit après coup, sauff u'il devrait y avoir
d'autres, non ? Ou alors c'est une vue instantanée ? J'y poge rien, en
CLI, moi...
--
Tardigradus
fx [François-Xavier Peretmere]
Le #9682241
on the 27/06/08 13:20 Tardigradus wrote the following:
"fx [François-Xavier Peretmere]"
Vu le site en question, je parie sur la vérification de mise à jour d'un des
softs de cet éditeur.



Oui, c'est ce que je me suis dit après coup, sauff u'il devrait y avoir
d'autres, non ? Ou alors c'est une vue instantanée ? J'y poge rien, en
CLI, moi...



C'est une vue à l'instant où la commande a été saisie, oui.

Il y a une version du man de lsof en français ici :
http://www.linuxcertif.com/man/8/lsof/

Fx

--
"If women had any idea, even for a second, of how we really looked at
them, they would never stop slapping us." -Larry Miller
Publicité
Poster une réponse
Anonyme