ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Le 9/04/04 19:07, dans <1gbzp0c.13u31yfbwlbw1N%, « Julien Salort » a écrit :
Il y a une chose que je ne comprends pas.
On l'a tous remarqué.
Je croyais que sous MacOS X, il fallait avoir un flag x pour avoir le droit de s'exécuter.
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS. Rien à voir avec les droits unix d'exécution.
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour ajouter ledit flag aux fichiers téléchargés ?
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder. Sous Mail le cheval de Troie est donc vu comme une séquence QuickTime audio mais avec un type/créateur HFS+ sauvegardé.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:07, dans <1gbzp0c.13u31yfbwlbw1N%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Il y a une chose que je ne comprends pas.
On l'a tous remarqué.
Je croyais que sous MacOS X,
il fallait avoir un flag x pour avoir le droit de s'exécuter.
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS.
Rien à voir avec les droits unix d'exécution.
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour
ajouter ledit flag aux fichiers téléchargés ?
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le
Finder. Sous Mail le cheval de Troie est donc vu comme une séquence
QuickTime audio mais avec un type/créateur HFS+ sauvegardé.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:07, dans <1gbzp0c.13u31yfbwlbw1N%, « Julien Salort » a écrit :
Il y a une chose que je ne comprends pas.
On l'a tous remarqué.
Je croyais que sous MacOS X, il fallait avoir un flag x pour avoir le droit de s'exécuter.
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS. Rien à voir avec les droits unix d'exécution.
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour ajouter ledit flag aux fichiers téléchargés ?
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder. Sous Mail le cheval de Troie est donc vu comme une séquence QuickTime audio mais avec un type/créateur HFS+ sauvegardé.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
listes
JRP wrote:
Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ?
Ca, c'est un virus exclusivement pour Windows qui n'a rien à voir avec ce dont on parle. Il est totalement inoffensif sur ton Mac, rassure-toi.
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
JRP <jaky.pelmont@wanadoo.fr> wrote:
Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ?
Ca, c'est un virus exclusivement pour Windows qui n'a rien à voir avec
ce dont on parle. Il est totalement inoffensif sur ton Mac, rassure-toi.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Sans droits root ni admin, un simple rf -rf ~/Documents serait déjà très ennuyeux pour la plupart des gens...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
patpro ~ patrick proniewski
In article , Patrick Stadelmann wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au mixer tu crois ?
:-)
c'est certain, mais le pire c'est qu'apres il va boire tes bieres !
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag 'x' n'est nécessaire que pour le format Mach-O (format d'exécutable natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent pas d'influence sur les appli CFM.
sisi, je viens de tester, le +S semble neutraliser l'appli... Bon mon test était simpliste : un applescript compilé en application, chown root, et chmod +s, avec comme code :
set montruc to (do shell script "id") display dialog "id : " & montruc
L'icone de l'appli fait un passage eclair dans le doc, façon j'essaye de me lancer, et disprrait vraiment aussitot. C'est tres furtif. Pas d'avis de plantage. Je n'ai pas testé sur une autre 'vraie' appli.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article
<Patrick.Stadelmann-440A5C.19171509042004@news.fu-berlin.de>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au
mixer tu crois ?
:-)
c'est certain, mais le pire c'est qu'apres il va boire tes bieres !
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag
'x' n'est nécessaire que pour le format Mach-O (format d'exécutable
natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même
s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent
pas d'influence sur les appli CFM.
sisi, je viens de tester, le +S semble neutraliser l'appli...
Bon mon test était simpliste : un applescript compilé en application,
chown root, et chmod +s, avec comme code :
set montruc to (do shell script "id")
display dialog "id : " & montruc
L'icone de l'appli fait un passage eclair dans le doc, façon j'essaye de
me lancer, et disprrait vraiment aussitot. C'est tres furtif. Pas d'avis
de plantage.
Je n'ai pas testé sur une autre 'vraie' appli.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au mixer tu crois ?
:-)
c'est certain, mais le pire c'est qu'apres il va boire tes bieres !
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag 'x' n'est nécessaire que pour le format Mach-O (format d'exécutable natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent pas d'influence sur les appli CFM.
sisi, je viens de tester, le +S semble neutraliser l'appli... Bon mon test était simpliste : un applescript compilé en application, chown root, et chmod +s, avec comme code :
set montruc to (do shell script "id") display dialog "id : " & montruc
L'icone de l'appli fait un passage eclair dans le doc, façon j'essaye de me lancer, et disprrait vraiment aussitot. C'est tres furtif. Pas d'avis de plantage. Je n'ai pas testé sur une autre 'vraie' appli.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
fra
Éric Lévénez wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas. -- Fra
Éric Lévénez <news@levenez.com> wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas.
--
Fra
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas. -- Fra
listes
Olivier Goldberg wrote:
un simple rf -rf
Heu... rm -rf, bien sûr :-)
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Olivier Goldberg <listes@ogoldberg.net> wrote:
un simple rf -rf
Heu... rm -rf, bien sûr :-)
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder.
Il ne devrait pas.
Patrick -- Patrick Stadelmann
fra
Damien Manoeuvre wrote:
Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou .exe envoyé par un inconnu.
Si moi j'envoie à un PCiste un coucou.bat avec "del c:*.*" est-ce que ça en fait pour autant un virus ? Y'a virus quand y'a propagation. Pour le moment y'a pas. Et si qqun le fait ce virus (envoie par mail par exemple au carnet d'adresse*) il n'ira pas très loin avec nos 3% de macusers. (*j'ai toujours refuser de confié mes adresses mails à un fichier centralisé du système d'ailleurs, même si c'est vrai qu'il peut aller chercher ailleurs) -- Fra
Damien Manoeuvre <dmanoeuvre@free.fr> wrote:
Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou
.exe envoyé par un inconnu.
Si moi j'envoie à un PCiste un coucou.bat avec "del c:*.*" est-ce que
ça en fait pour autant un virus ? Y'a virus quand y'a propagation. Pour
le moment y'a pas. Et si qqun le fait ce virus (envoie par mail par
exemple au carnet d'adresse*) il n'ira pas très loin avec nos 3% de
macusers.
(*j'ai toujours refuser de confié mes adresses mails à un fichier
centralisé du système d'ailleurs, même si c'est vrai qu'il peut aller
chercher ailleurs)
--
Fra
Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou .exe envoyé par un inconnu.
Si moi j'envoie à un PCiste un coucou.bat avec "del c:*.*" est-ce que ça en fait pour autant un virus ? Y'a virus quand y'a propagation. Pour le moment y'a pas. Et si qqun le fait ce virus (envoie par mail par exemple au carnet d'adresse*) il n'ira pas très loin avec nos 3% de macusers. (*j'ai toujours refuser de confié mes adresses mails à un fichier centralisé du système d'ailleurs, même si c'est vrai qu'il peut aller chercher ailleurs) -- Fra
Éric Lévénez
Le 9/04/04 19:27, dans <1gbzpzb.lmbzdh1ux0k1rN%, « Fra » a écrit :
Éric Lévénez wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas.
C'est possible en effet, mais vu le nombre d'applications "normales" sans ".app", il y aura beaucoup d'alertes si Apple fait cela. Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:27, dans <1gbzpzb.lmbzdh1ux0k1rN%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas.
C'est possible en effet, mais vu le nombre d'applications "normales" sans
".app", il y aura beaucoup d'alertes si Apple fait cela. Mais il n'y a pas
que les applications .app, il y a aussi tout ce qui peut se lancer et faire
des choses, donc en vrac, des scripts unix ou AppleScript, des applis
Java... Enfin pratiquement tout.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:27, dans <1gbzpzb.lmbzdh1ux0k1rN%, « Fra » a écrit :
Éric Lévénez wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas.
C'est possible en effet, mais vu le nombre d'applications "normales" sans ".app", il y aura beaucoup d'alertes si Apple fait cela. Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
patpro ~ patrick proniewski
In article <1gbzpy5.hfrzw9yvdquuN%, (Olivier Goldberg) wrote:
patpro ~ patrick proniewski wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Sans droits root ni admin, un simple rf -rf ~/Documents serait déjà très ennuyeux pour la plupart des gens...
bah, de toute maniere avec le niveau de vigilance du macounet de base, le troyen il a juste a ouvrir une boite de dialogue demandant le pass admin, et le tour est joué :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <1gbzpy5.hfrzw9yvdquuN%listes@ogoldberg.net>,
listes@ogoldberg.net (Olivier Goldberg) wrote:
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Sans droits root ni admin, un simple rf -rf ~/Documents serait déjà très
ennuyeux pour la plupart des gens...
bah, de toute maniere avec le niveau de vigilance du macounet de base,
le troyen il a juste a ouvrir une boite de dialogue demandant le pass
admin, et le tour est joué :)
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
In article <1gbzpy5.hfrzw9yvdquuN%, (Olivier Goldberg) wrote:
patpro ~ patrick proniewski wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Sans droits root ni admin, un simple rf -rf ~/Documents serait déjà très ennuyeux pour la plupart des gens...
bah, de toute maniere avec le niveau de vigilance du macounet de base, le troyen il a juste a ouvrir une boite de dialogue demandant le pass admin, et le tour est joué :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
