ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Faut pas trop "fanfaronner" la dessus non plus, MacOS X ou pas n'empêche en rien l'apparition d'un virus, c'est juste de "faible marché" qui fait que MacOSX et relativement à l'abri à ce jour. Mais demain matin un virus très virulent peut très bien faire son apparition dans notre monde et ça arrivera tot ou tard. Perso, je prefère prevenir que guérir. Au boulot j'use d'anti-virus sur notre parc mac; à la maison pas encore...
Qu'appelles-tu "virulent" ?
Jamais un virus ne pourra te détruire ton OS par exemple. (à moins que tu ais fait 2 folies inutiles et dangereuses : 1) activer le compte root 2) l'utiliser... )
Faut pas trop "fanfaronner" la dessus non plus, MacOS X ou pas n'empêche
en rien l'apparition d'un virus, c'est juste de "faible marché" qui fait
que MacOSX et relativement à l'abri à ce jour. Mais demain matin un
virus très virulent peut très bien faire son apparition dans notre monde
et ça arrivera tot ou tard.
Perso, je prefère prevenir que guérir.
Au boulot j'use d'anti-virus sur notre parc mac; à la maison pas
encore...
Qu'appelles-tu "virulent" ?
Jamais un virus ne pourra te détruire ton OS par exemple. (à moins que
tu ais fait 2 folies inutiles et dangereuses : 1) activer le compte root
2) l'utiliser... )
Faut pas trop "fanfaronner" la dessus non plus, MacOS X ou pas n'empêche en rien l'apparition d'un virus, c'est juste de "faible marché" qui fait que MacOSX et relativement à l'abri à ce jour. Mais demain matin un virus très virulent peut très bien faire son apparition dans notre monde et ça arrivera tot ou tard. Perso, je prefère prevenir que guérir. Au boulot j'use d'anti-virus sur notre parc mac; à la maison pas encore...
Qu'appelles-tu "virulent" ?
Jamais un virus ne pourra te détruire ton OS par exemple. (à moins que tu ais fait 2 folies inutiles et dangereuses : 1) activer le compte root 2) l'utiliser... )
Le 9/04/04 20:17, dans <1gbzrmu.a1u9zyfqqr2gN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS. Rien à voir avec les droits unix d'exécution.
OK. Je ne savais pas qu'une application, même Carbon, pût s'exécuter sans en avoir l'autorisation.
En fait ce sont juste les applications CFM, certaines Carbon sont en Mach-O.
Pour moi, c'est un bug.
C'est la façon de travailler de CFM.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
fra
Éric Lévénez wrote:
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à fait courant.
mais écrit en anglais par un français...
faire des sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
On ne sauvegarde que l'indispensable -- Fra
Éric Lévénez <news@levenez.com> wrote:
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un
email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à
fait courant.
mais écrit en anglais par un français...
faire des
sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
Les virus Windows masquent à 99,9 % le nom de l'expéditeur. Recevoir un email de quelqu'un de connu (mais qui ne l'a jamais envoyé) est alors tout à fait courant.
mais écrit en anglais par un français...
faire des sauvegardes etc.
Avec les tailles des disques actuels, peu de personnes en font.
On ne sauvegarde que l'indispensable -- Fra
lists
Éric Lévénez wrote:
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
Le 9/04/04 20:17, dans <1gbzrpg.svcmz31o3n88nN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3 valide ou pas importe peu ?
Oui. Le cheval de Troie utilise une astuce dans le lancement de l'application Carbon CFM pour sauter au milieu du fichier. Le début est du MP3 "normal". Mais l'application a aussi une partie ressource HFS.
Cette technique peut être utilisée avec tout fichier, comme des GIF, PDF, AVI, DOC...
J'imagine que pour un cheval de Troie, il est pourtant utile de passer inaperçu pendant un certain temps afin de se propager et que donc le fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là dedans.
Oui. Mais il y a surtout l'icône et le nom. Si l'icône était celle des Applications par défaut, le macounet ne le lancerait pas forcément.
Je reçois le virus.
Ce n'est pas un virus mais un cheval de Troie car il faut l'activer à la main. Le Finder sait que c'est une Application seul l'utilisateur n'en a pas la connaissance à cause du type HFS caché et de l'icône qui le trompe.
Je l'ouvre. Il efface mon disque. C'est terrible mais si je ne l'envoie à personne, ça n'ira pas très loin.
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par s'auto-envoyer à d'autres, puis il commence son travail de destruction éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de travail.
En revanche, je l'ouvre, je crois que c'est un MP3.
Ou un GIF, ou un HTML, ou un DOC ou un MOV ou un TXT...
Je le garde et je l'envoie à plein de gens qui eux-même le propage. Un beau jour, il devient actif et fait plein de dégâts de par le monde.
Pour l'envoyer il faut utiliser une technique qui garde les types/créateur/ressources HFS.
Donc iTunes est en cause.
Non. Je ne vois pas ce que viens faire iTunes là dedans.
Il devrait se baser sur le type HFS et rejeter un fichier avec une signature 'APPL'.
iTunes ne fait rien. Quand tu cliques sur l'icône, l'application se lance et c'est elle qui lance manuellement iTunes. L'application aurait pu lancer Safari ou Terminal ou juste exécuter des commandes discrètement en tâche de fond.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 20:17, dans <1gbzrpg.svcmz31o3n88nN%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le
type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui
porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3
valide ou pas importe peu ?
Oui. Le cheval de Troie utilise une astuce dans le lancement de
l'application Carbon CFM pour sauter au milieu du fichier. Le début est du
MP3 "normal". Mais l'application a aussi une partie ressource HFS.
Cette technique peut être utilisée avec tout fichier, comme des GIF, PDF,
AVI, DOC...
J'imagine que pour un cheval de Troie, il est pourtant utile de passer
inaperçu pendant un certain temps afin de se propager et que donc le
fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là
dedans.
Oui. Mais il y a surtout l'icône et le nom. Si l'icône était celle des
Applications par défaut, le macounet ne le lancerait pas forcément.
Je reçois le virus.
Ce n'est pas un virus mais un cheval de Troie car il faut l'activer à la
main. Le Finder sait que c'est une Application seul l'utilisateur n'en a pas
la connaissance à cause du type HFS caché et de l'icône qui le trompe.
Je l'ouvre. Il efface mon disque. C'est terrible
mais si je ne l'envoie à personne, ça n'ira pas très loin.
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par
s'auto-envoyer à d'autres, puis il commence son travail de destruction
éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de
travail.
En revanche, je l'ouvre, je crois que c'est un MP3.
Ou un GIF, ou un HTML, ou un DOC ou un MOV ou un TXT...
Je le garde et je
l'envoie à plein de gens qui eux-même le propage. Un beau jour, il
devient actif et fait plein de dégâts de par le monde.
Pour l'envoyer il faut utiliser une technique qui garde les
types/créateur/ressources HFS.
Donc iTunes est en cause.
Non. Je ne vois pas ce que viens faire iTunes là dedans.
Il devrait se baser sur le type HFS et rejeter
un fichier avec une signature 'APPL'.
iTunes ne fait rien. Quand tu cliques sur l'icône, l'application se lance et
c'est elle qui lance manuellement iTunes. L'application aurait pu lancer
Safari ou Terminal ou juste exécuter des commandes discrètement en tâche de
fond.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 20:17, dans <1gbzrpg.svcmz31o3n88nN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Donc tu défends la thèse que finalement ce n'est qu'une application qui porte le nom toto.mp3 et que le fait qu'elle puisse être un fichier mp3 valide ou pas importe peu ?
Oui. Le cheval de Troie utilise une astuce dans le lancement de l'application Carbon CFM pour sauter au milieu du fichier. Le début est du MP3 "normal". Mais l'application a aussi une partie ressource HFS.
Cette technique peut être utilisée avec tout fichier, comme des GIF, PDF, AVI, DOC...
J'imagine que pour un cheval de Troie, il est pourtant utile de passer inaperçu pendant un certain temps afin de se propager et que donc le fait qu'iTunes le fasse passer pour un fichier MP3 valide a à voir là dedans.
Oui. Mais il y a surtout l'icône et le nom. Si l'icône était celle des Applications par défaut, le macounet ne le lancerait pas forcément.
Je reçois le virus.
Ce n'est pas un virus mais un cheval de Troie car il faut l'activer à la main. Le Finder sait que c'est une Application seul l'utilisateur n'en a pas la connaissance à cause du type HFS caché et de l'icône qui le trompe.
Je l'ouvre. Il efface mon disque. C'est terrible mais si je ne l'envoie à personne, ça n'ira pas très loin.
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par s'auto-envoyer à d'autres, puis il commence son travail de destruction éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de travail.
En revanche, je l'ouvre, je crois que c'est un MP3.
Ou un GIF, ou un HTML, ou un DOC ou un MOV ou un TXT...
Je le garde et je l'envoie à plein de gens qui eux-même le propage. Un beau jour, il devient actif et fait plein de dégâts de par le monde.
Pour l'envoyer il faut utiliser une technique qui garde les types/créateur/ressources HFS.
Donc iTunes est en cause.
Non. Je ne vois pas ce que viens faire iTunes là dedans.
Il devrait se baser sur le type HFS et rejeter un fichier avec une signature 'APPL'.
iTunes ne fait rien. Quand tu cliques sur l'icône, l'application se lance et c'est elle qui lance manuellement iTunes. L'application aurait pu lancer Safari ou Terminal ou juste exécuter des commandes discrètement en tâche de fond.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
lists
Éric Lévénez wrote:
L'icône pouvant être changée, elle n'a rien à voir avec le type de fichier.
Je suis ton raisonnemment. Le nom du fichier peut être changé, il n'a rien à voir avec le type de fichier.
Cependant, un utilisateur normal n'a aucune raison de changer l'icône d'un fichier MP3.
Par contre c'est vrai, il peut être trompé par l'icône. Mais comme il peut également être trompé par l'extension, je ne vois pas la différence sinon que l'icône est plus user-friendly.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
L'icône pouvant être changée, elle n'a rien à voir avec le type de fichier.
Je suis ton raisonnemment.
Le nom du fichier peut être changé, il n'a rien à voir avec le type de
fichier.
Cependant, un utilisateur normal n'a aucune raison de changer l'icône
d'un fichier MP3.
Par contre c'est vrai, il peut être trompé par l'icône. Mais comme il
peut également être trompé par l'extension, je ne vois pas la différence
sinon que l'icône est plus user-friendly.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
L'icône pouvant être changée, elle n'a rien à voir avec le type de fichier.
Je suis ton raisonnemment. Le nom du fichier peut être changé, il n'a rien à voir avec le type de fichier.
Cependant, un utilisateur normal n'a aucune raison de changer l'icône d'un fichier MP3.
Par contre c'est vrai, il peut être trompé par l'icône. Mais comme il peut également être trompé par l'extension, je ne vois pas la différence sinon que l'icône est plus user-friendly.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
lists
Éric Lévénez wrote:
Pour moi, c'est un bug.
C'est la façon de travailler de CFM.
C'est peut-être idiot mais je viens de faire un bugreport à Apple.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Pour moi, c'est un bug.
C'est la façon de travailler de CFM.
C'est peut-être idiot mais je viens de faire un bugreport à Apple.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
C'est peut-être idiot mais je viens de faire un bugreport à Apple.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
Le 9/04/04 20:30, dans <1gbzser.1639zfr1tyzer5N%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
J'accepte les toto.png.gz, mais pas les .sit :-p
En utilisant des outils unix comme tar, gzip, pax... il n'y a pas de problème. Il ne faut pas utiliser des formats touchant à HFS, c'est tout.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 20:30, dans <1gbzser.1639zfr1tyzer5N%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
J'accepte les toto.png.gz, mais pas les .sit :-p
En utilisant des outils unix comme tar, gzip, pax... il n'y a pas de
problème. Il ne faut pas utiliser des formats touchant à HFS, c'est tout.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 20:30, dans <1gbzser.1639zfr1tyzer5N%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Non, car ne téléchargeant pas des MP3, je ne risque rien.
On va dire toto.png.sit alors ?
J'accepte les toto.png.gz, mais pas les .sit :-p
En utilisant des outils unix comme tar, gzip, pax... il n'y a pas de problème. Il ne faut pas utiliser des formats touchant à HFS, c'est tout.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
lists
Éric Lévénez wrote:
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par s'auto-envoyer à d'autres, puis il commence son travail de destruction éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de travail.
Il n'y a pas moyen d'empêcher ça avec le FireWall ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par
s'auto-envoyer à d'autres, puis il commence son travail de destruction
éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de
travail.
Il n'y a pas moyen d'empêcher ça avec le FireWall ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Crois-tu qu'un virus efface le disque uniquement ? Un virus commence par s'auto-envoyer à d'autres, puis il commence son travail de destruction éventuel. Les kit SMTP sous Windows se trouvent à la pelle pour ce genre de travail.
Il n'y a pas moyen d'empêcher ça avec le FireWall ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
