ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions, la taille, etc...) ? Cette une information distincte, qui n'a rien à voir avec le nom, et qui donc doit être stockée indépendamment.
Patrick -- Patrick Stadelmann
In article <1gbzqm5.m4bio51qwkqo2N%nobody@replay.com>,
nobody@replay.com (JP) wrote:
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type
d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions,
la taille, etc...) ? Cette une information distincte, qui n'a rien à
voir avec le nom, et qui donc doit être stockée indépendamment.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions, la taille, etc...) ? Cette une information distincte, qui n'a rien à voir avec le nom, et qui donc doit être stockée indépendamment.
Patrick -- Patrick Stadelmann
Éric Lévénez
Le 9/04/04 19:42, dans <1gbzpn2.1fmjz4ow220lwN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers les réseaux P2P.
Tel-quel non je suppose, mais dans un fichier SIT, DMG, ZIP ou autre, il peut.
Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
Non, car ne téléchargeant pas des MP3, je ne risque rien.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:42, dans <1gbzpn2.1fmjz4ow220lwN%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Le nom du fichier peut être quelconque, comme par exemple "toto.gif",
"truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement
car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers
les réseaux P2P.
Tel-quel non je suppose, mais dans un fichier SIT, DMG, ZIP ou autre, il
peut.
Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
Non, car ne téléchargeant pas des MP3, je ne risque rien.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:42, dans <1gbzpn2.1fmjz4ow220lwN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Ce qui signifie que ledit virus a peu de chance de se propager à travers les réseaux P2P.
Tel-quel non je suppose, mais dans un fichier SIT, DMG, ZIP ou autre, il peut.
Franchement, si tu vois un fichier toto.mp3.sit, tu te méfies pas ?
Non, car ne téléchargeant pas des MP3, je ne risque rien.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
fra
Éric Lévénez wrote:
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou en anglais par un français) ou provenant d'un inconnu ; faire des sauvegardes etc. -- Fra
Éric Lévénez <news@levenez.com> wrote:
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et
ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou
utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou
en anglais par un français) ou provenant d'un inconnu ; faire des
sauvegardes etc.
--
Fra
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou en anglais par un français) ou provenant d'un inconnu ; faire des sauvegardes etc. -- Fra
Patrick Stadelmann
In article <BC9CAF78.6EA14%, Éric Lévénez wrote:
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas se métamorphoser tout seul en viurs) en vue par liste, et le tour est reglé. Franchement, c'est pas la mer à boire.
Patrick -- Patrick Stadelmann
In article <BC9CAF78.6EA14%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et
ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas
se métamorphoser tout seul en viurs) en vue par liste, et le tour est
reglé. Franchement, c'est pas la mer à boire.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas se métamorphoser tout seul en viurs) en vue par liste, et le tour est reglé. Franchement, c'est pas la mer à boire.
Patrick -- Patrick Stadelmann
Éric Lévénez
Le 9/04/04 19:55, dans , « Patrick Stadelmann » a écrit :
In article <1gbzqm5.m4bio51qwkqo2N%, (JP) wrote:
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions, la taille, etc...) ? Cette une information distincte, qui n'a rien à voir avec le nom, et qui donc doit être stockée indépendamment.
Non.
Et on revient dans des discussions faites sur fcsm il y a quelques années.
:-(
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:55, dans
<Patrick.Stadelmann-55F311.19555209042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
In article <1gbzqm5.m4bio51qwkqo2N%nobody@replay.com>,
nobody@replay.com (JP) wrote:
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type
d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions,
la taille, etc...) ? Cette une information distincte, qui n'a rien à
voir avec le nom, et qui donc doit être stockée indépendamment.
Non.
Et on revient dans des discussions faites sur fcsm il y a quelques années.
:-(
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:55, dans , « Patrick Stadelmann » a écrit :
In article <1gbzqm5.m4bio51qwkqo2N%, (JP) wrote:
Je ne vois pas où est la complexité dans l'extension.
C'est pas complexe, c'est totalement illogique. Pourquoi mettre le type d'un fichier dans son nom (et pourquoi ne pas y mettre les permissions, la taille, etc...) ? Cette une information distincte, qui n'a rien à voir avec le nom, et qui donc doit être stockée indépendamment.
Non.
Et on revient dans des discussions faites sur fcsm il y a quelques années.
:-(
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Éric Lévénez
Le 9/04/04 19:58, dans <1gbzrdr.mliumha0cjk7N%, « Fra » a écrit :
Éric Lévénez wrote:
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou en anglais par un français) ou provenant d'un inconnu ;
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à fait courant.
faire des sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:58, dans <1gbzrdr.mliumha0cjk7N%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et
ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou
utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou
en anglais par un français) ou provenant d'un inconnu ;
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un
email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à
fait courant.
faire des
sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:58, dans <1gbzrdr.mliumha0cjk7N%, « Fra » a écrit :
Éric Lévénez wrote:
Bon alors port du cerveau obligatoire pour tout le monde.
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple... Ou utiliser /Developer/Tools/GetFileInfo, ce n'est pas non plus le pied.
Je voulais juste dire : ne pas ouvrir une pièce jointe non annoncée (ou en anglais par un français) ou provenant d'un inconnu ;
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à fait courant.
faire des sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
lists
Éric Lévénez wrote:
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS. Rien à voir avec les droits unix d'exécution.
OK. Je ne savais pas qu'une application, même Carbon, pût s'exécuter sans en avoir l'autorisation. Pour moi, c'est un bug.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS.
Rien à voir avec les droits unix d'exécution.
OK. Je ne savais pas qu'une application, même Carbon, pût s'exécuter
sans en avoir l'autorisation. Pour moi, c'est un bug.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS. Rien à voir avec les droits unix d'exécution.
OK. Je ne savais pas qu'une application, même Carbon, pût s'exécuter sans en avoir l'autorisation. Pour moi, c'est un bug.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
lists
Éric Lévénez wrote:
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3 valide ou pas importe peu ?
J'imagine que pour un cheval de Troie, il est pourtant utile de passer inaperçu pendant un certain temps afin de se propager et que donc le fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là dedans.
Je reçois le virus. Je l'ouvre. Il efface mon disque. C'est terrible mais si je ne l'envoie à personne, ça n'ira pas très loin. En revanche, je l'ouvre, je crois que c'est un MP3. Je le garde et je l'envoie à plein de gens qui eux-même le propage. Un beau jour, il devient actif et fait plein de dégâts de par le monde.
Donc iTunes est en cause. Il devrait se baser sur le type HFS et rejeter un fichier avec une signature 'APPL'.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le
type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui
porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3
valide ou pas importe peu ?
J'imagine que pour un cheval de Troie, il est pourtant utile de passer
inaperçu pendant un certain temps afin de se propager et que donc le
fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là
dedans.
Je reçois le virus. Je l'ouvre. Il efface mon disque. C'est terrible
mais si je ne l'envoie à personne, ça n'ira pas très loin.
En revanche, je l'ouvre, je crois que c'est un MP3. Je le garde et je
l'envoie à plein de gens qui eux-même le propage. Un beau jour, il
devient actif et fait plein de dégâts de par le monde.
Donc iTunes est en cause. Il devrait se baser sur le type HFS et rejeter
un fichier avec une signature 'APPL'.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3 valide ou pas importe peu ?
J'imagine que pour un cheval de Troie, il est pourtant utile de passer inaperçu pendant un certain temps afin de se propager et que donc le fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là dedans.
Je reçois le virus. Je l'ouvre. Il efface mon disque. C'est terrible mais si je ne l'envoie à personne, ça n'ira pas très loin. En revanche, je l'ouvre, je crois que c'est un MP3. Je le garde et je l'envoie à plein de gens qui eux-même le propage. Un beau jour, il devient actif et fait plein de dégâts de par le monde.
Donc iTunes est en cause. Il devrait se baser sur le type HFS et rejeter un fichier avec une signature 'APPL'.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
lists
JP wrote:
visuellement ça saute aux yeux
L'icône saute encore plus aux yeux.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
JP <nobody@replay.com> wrote:
visuellement ça saute aux yeux
L'icône saute encore plus aux yeux.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
Le 9/04/04 19:58, dans , « Patrick Stadelmann » a écrit :
In article <BC9CAF78.6EA14%, Éric Lévénez wrote:
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas se métamorphoser tout seul en viurs) en vue par liste, et le tour est reglé. Franchement, c'est pas la mer à boire.
Je ne télécharge pas de MP3, je ripe mes CD en AAC.
Rappel : le cheval de Troie dont on parle n'a rien à voir avec un MP3, mais avec le type HFS+ d'un fichier. Il faut donc se protéger de tout fichier venant de l'extérieur et ayant conservé par un moyen ou un autre ses type/créateurs HFS. Il faut aussi qu'il ait une icône personnalisée pour mieux tromper son monde.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:58, dans
<Patrick.Stadelmann-33E4E2.19585409042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
In article <BC9CAF78.6EA14%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et
ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas
se métamorphoser tout seul en viurs) en vue par liste, et le tour est
reglé. Franchement, c'est pas la mer à boire.
Je ne télécharge pas de MP3, je ripe mes CD en AAC.
Rappel : le cheval de Troie dont on parle n'a rien à voir avec un MP3, mais
avec le type HFS+ d'un fichier. Il faut donc se protéger de tout fichier
venant de l'extérieur et ayant conservé par un moyen ou un autre ses
type/créateurs HFS. Il faut aussi qu'il ait une icône personnalisée pour
mieux tromper son monde.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:58, dans , « Patrick Stadelmann » a écrit :
In article <BC9CAF78.6EA14%, Éric Lévénez wrote:
Aller dans le Finder et faire Pomme-I pour regarder le type de fichier et ainsi voir ce que c'est en fait, ce n'est pas vraiment très simple...
Tu mets ton dossier de téléchargement (tes MP3 dans ~/Music ne vont pas se métamorphoser tout seul en viurs) en vue par liste, et le tour est reglé. Franchement, c'est pas la mer à boire.
Je ne télécharge pas de MP3, je ripe mes CD en AAC.
Rappel : le cheval de Troie dont on parle n'a rien à voir avec un MP3, mais avec le type HFS+ d'un fichier. Il faut donc se protéger de tout fichier venant de l'extérieur et ayant conservé par un moyen ou un autre ses type/créateurs HFS. Il faut aussi qu'il ait une icône personnalisée pour mieux tromper son monde.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
