ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Le 9/04/04 19:32, dans , « Patrick Stadelmann » a écrit :
In article <BC9CA8F3.6E9F0%, Éric Lévénez wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder.
Il ne devrait pas.
Oui, mais il le fait. Ce problème de type mime par rapport à l'extension est très connu de Microsoft avec tous les virus qui se sont propagés comme cela. Apple est plus novice dans ce domaine.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:32, dans
<Patrick.Stadelmann-ACB07C.19324509042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
In article <BC9CA8F3.6E9F0%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le
Finder.
Il ne devrait pas.
Oui, mais il le fait. Ce problème de type mime par rapport à l'extension est
très connu de Microsoft avec tous les virus qui se sont propagés comme cela.
Apple est plus novice dans ce domaine.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:32, dans , « Patrick Stadelmann » a écrit :
In article <BC9CA8F3.6E9F0%, Éric Lévénez wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder.
Il ne devrait pas.
Oui, mais il le fait. Ce problème de type mime par rapport à l'extension est très connu de Microsoft avec tous les virus qui se sont propagés comme cela. Apple est plus novice dans ce domaine.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
fra
Éric Lévénez wrote:
Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
Mmm.......rde! Bon alors port du cerveau obligatoire pour tout le monde. De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac) ; il est juste mauvais de par son tapage médiatique du moment. -- Fra
Éric Lévénez <news@levenez.com> wrote:
Mais il n'y a pas
que les applications .app, il y a aussi tout ce qui peut se lancer et faire
des choses, donc en vrac, des scripts unix ou AppleScript, des applis
Java... Enfin pratiquement tout.
Mmm.......rde! Bon alors port du cerveau obligatoire pour tout le monde.
De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac)
; il est juste mauvais de par son tapage médiatique du moment.
--
Fra
Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
Mmm.......rde! Bon alors port du cerveau obligatoire pour tout le monde. De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac) ; il est juste mauvais de par son tapage médiatique du moment. -- Fra
Patrick Stadelmann
In article , patpro ~ patrick proniewski wrote:
sisi, je viens de tester, le +S semble neutraliser l'appli... Bon mon test était simpliste : un applescript compilé en application,
Sous 10.2.8 (et oui j'ai toujours pas upgradé ma machine perso, c'est pour ce WE normalement) ça ne fait aucune différence. T'es sûr que ton AppleScript n'est pas du Mach-O ?
Patrick -- Patrick Stadelmann
In article <patpro-20ED15.19270209042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
sisi, je viens de tester, le +S semble neutraliser l'appli...
Bon mon test était simpliste : un applescript compilé en application,
Sous 10.2.8 (et oui j'ai toujours pas upgradé ma machine perso, c'est
pour ce WE normalement) ça ne fait aucune différence. T'es sûr que ton
AppleScript n'est pas du Mach-O ?
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
sisi, je viens de tester, le +S semble neutraliser l'appli... Bon mon test était simpliste : un applescript compilé en application,
Sous 10.2.8 (et oui j'ai toujours pas upgradé ma machine perso, c'est pour ce WE normalement) ça ne fait aucune différence. T'es sûr que ton AppleScript n'est pas du Mach-O ?
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article <BC9CABAB.6EA0E%, Éric Lévénez wrote:
Le 9/04/04 19:32, dans , « Patrick Stadelmann » a écrit :
In article <BC9CA8F3.6E9F0%, Éric Lévénez wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder.
Il ne devrait pas.
Oui, mais il le fait.
C'est un bug.
Patrick -- Patrick Stadelmann
In article <BC9CABAB.6EA0E%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Le 9/04/04 19:32, dans
<Patrick.Stadelmann-ACB07C.19324509042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
In article <BC9CA8F3.6E9F0%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme
le
Finder.
Il ne devrait pas.
Oui, mais il le fait.
C'est un bug.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Le 9/04/04 19:32, dans , « Patrick Stadelmann » a écrit :
In article <BC9CA8F3.6E9F0%, Éric Lévénez wrote:
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le Finder.
Il ne devrait pas.
Oui, mais il le fait.
C'est un bug.
Patrick -- Patrick Stadelmann
nobody
Damien Manoeuvre wrote:
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces prédécesseurs. Les Mac ne sont pas infestés de virus pour autant.
C'est vrai, mais ça peut changer très vite, alors autant mettre toutes les chances de son côté. La plateforme Mac fait pas mal parler d'elle depuis quelque temps, avec l'ITMS, l'iPod, qui remportent un vif succès. Le Mac n'est plus un marché de niche, il devient populaire, grand public. Et qui dit populaire dit exposé. La rançon du succès en quelque sorte.
-- JP
Damien Manoeuvre <dmanoeuvre@free.fr> wrote:
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces
prédécesseurs.
Les Mac ne sont pas infestés de virus pour autant.
C'est vrai, mais ça peut changer très vite, alors autant mettre toutes
les chances de son côté. La plateforme Mac fait pas mal parler d'elle
depuis quelque temps, avec l'ITMS, l'iPod, qui remportent un vif succès.
Le Mac n'est plus un marché de niche, il devient populaire, grand
public. Et qui dit populaire dit exposé. La rançon du succès en quelque
sorte.
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces prédécesseurs. Les Mac ne sont pas infestés de virus pour autant.
C'est vrai, mais ça peut changer très vite, alors autant mettre toutes les chances de son côté. La plateforme Mac fait pas mal parler d'elle depuis quelque temps, avec l'ITMS, l'iPod, qui remportent un vif succès. Le Mac n'est plus un marché de niche, il devient populaire, grand public. Et qui dit populaire dit exposé. La rançon du succès en quelque sorte.
-- JP
nobody
Julien Jalon wrote:
Petit scénario sur les 2 plateformes (avec masquage d'extensions activées), que vous pouvez tester :
Je ne veux même pas envisager ce scénario. Masquer les extensions sur un PC est proprement suicidaire ! Toute personne un tant soit peu avisée décoche cette option par défaut de Windows. Pour les autres, tant pis pour eux.
-- JP
Julien Jalon <jalon@julien-jalon.org> wrote:
Petit scénario sur les 2 plateformes (avec masquage d'extensions
activées), que vous pouvez tester :
Je ne veux même pas envisager ce scénario. Masquer les extensions sur un
PC est proprement suicidaire ! Toute personne un tant soit peu avisée
décoche cette option par défaut de Windows. Pour les autres, tant pis
pour eux.
Petit scénario sur les 2 plateformes (avec masquage d'extensions activées), que vous pouvez tester :
Je ne veux même pas envisager ce scénario. Masquer les extensions sur un PC est proprement suicidaire ! Toute personne un tant soit peu avisée décoche cette option par défaut de Windows. Pour les autres, tant pis pour eux.
-- JP
nobody
ric zito wrote:
Autant je suis d'accord sur la nécéssité de se protéger, autant je trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup plus simple que les meta données, et visuellement ça saute aux yeux. Pas besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore. C'est d'une simplicité biblique au contraire.
-- JP
ric zito <ADDRESS@IN.SIG> wrote:
Autant je suis d'accord sur la nécéssité de se protéger, autant je
trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup
plus simple que les meta données, et visuellement ça saute aux yeux. Pas
besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore.
C'est d'une simplicité biblique au contraire.
Autant je suis d'accord sur la nécéssité de se protéger, autant je trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup plus simple que les meta données, et visuellement ça saute aux yeux. Pas besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore. C'est d'une simplicité biblique au contraire.
-- JP
lists
Éric Lévénez wrote:
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers les réseaux P2P. Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Le nom du fichier peut être quelconque, comme par exemple "toto.gif",
"truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement
car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers
les réseaux P2P.
Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers les réseaux P2P. Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
Le 9/04/04 19:38, dans <1gbzqgg.hj15jvtyqwhgN%, « Fra » a écrit :
Éric Lévénez wrote:
Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
Mmm.......rde!
Voilà qui résume ce que je pense d'HFS+ et de ses (et ces) problèmes.
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac)
Ce n'est pas nouveau, mais comme c'est lié à HFS+, c'est quand même lié au Mac. Il y a le même genre de problème dès que l'on cache des informations, genre les types Mime des emails. Je pense que ce genre de virus peut aussi exister sur BeOS.
; il est juste mauvais de par son tapage médiatique du moment.
Oui.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:38, dans <1gbzqgg.hj15jvtyqwhgN%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Mais il n'y a pas
que les applications .app, il y a aussi tout ce qui peut se lancer et faire
des choses, donc en vrac, des scripts unix ou AppleScript, des applis
Java... Enfin pratiquement tout.
Mmm.......rde!
Voilà qui résume ce que je pense d'HFS+ et de ses (et ces) problèmes.
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et
ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou
utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac)
Ce n'est pas nouveau, mais comme c'est lié à HFS+, c'est quand même lié au
Mac. Il y a le même genre de problème dès que l'on cache des informations,
genre les types Mime des emails. Je pense que ce genre de virus peut aussi
exister sur BeOS.
; il est juste mauvais de par son tapage médiatique du moment.
Oui.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:38, dans <1gbzqgg.hj15jvtyqwhgN%, « Fra » a écrit :
Éric Lévénez wrote:
Mais il n'y a pas que les applications .app, il y a aussi tout ce qui peut se lancer et faire des choses, donc en vrac, des scripts unix ou AppleScript, des applis Java... Enfin pratiquement tout.
Mmm.......rde!
Voilà qui résume ce que je pense d'HFS+ et de ses (et ces) problèmes.
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
De toutes façons ce risque n'est pas nouveau (et pas spécifique au mac)
Ce n'est pas nouveau, mais comme c'est lié à HFS+, c'est quand même lié au Mac. Il y a le même genre de problème dès que l'on cache des informations, genre les types Mime des emails. Je pense que ce genre de virus peut aussi exister sur BeOS.
; il est juste mauvais de par son tapage médiatique du moment.
Oui.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Éric Lévénez
Le 9/04/04 19:42, dans <1gbzqm5.m4bio51qwkqo2N%, « JP » a écrit :
ric zito wrote:
Autant je suis d'accord sur la nécéssité de se protéger, autant je trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup plus simple que les meta données, et visuellement ça saute aux yeux. Pas besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore. C'est d'une simplicité biblique au contraire.
YES !
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:42, dans <1gbzqm5.m4bio51qwkqo2N%nobody@replay.com>, « JP »
<nobody@replay.com> a écrit :
ric zito <ADDRESS@IN.SIG> wrote:
Autant je suis d'accord sur la nécéssité de se protéger, autant je
trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup
plus simple que les meta données, et visuellement ça saute aux yeux. Pas
besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore.
C'est d'une simplicité biblique au contraire.
YES !
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:42, dans <1gbzqm5.m4bio51qwkqo2N%, « JP » a écrit :
ric zito wrote:
Autant je suis d'accord sur la nécéssité de se protéger, autant je trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
Je ne vois pas où est la complexité dans l'extension. C'est beaucoup plus simple que les meta données, et visuellement ça saute aux yeux. Pas besoin de faire pomme-I ou de trier par type ou je ne sais quoi encore. C'est d'une simplicité biblique au contraire.
YES !
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
