ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Toute personne un tant soit peu avisée décoche cette option par défaut de Windows. Pour les autres, tant pis pour eux.
Remarque, toute personne vraiment sensée évite Windows. Ceci explique sans doute le nombre d'infections virales sur cette plate-forme :-)
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
listes
patpro ~ patrick proniewski wrote:
bah, de toute maniere avec le niveau de vigilance du macounet de base, le troyen il a juste a ouvrir une boite de dialogue demandant le pass admin, et le tour est joué :)
Voui, mais quand même...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
bah, de toute maniere avec le niveau de vigilance du macounet de base,
le troyen il a juste a ouvrir une boite de dialogue demandant le pass
admin, et le tour est joué :)
Voui, mais quand même...
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
bah, de toute maniere avec le niveau de vigilance du macounet de base, le troyen il a juste a ouvrir une boite de dialogue demandant le pass admin, et le tour est joué :)
Voui, mais quand même...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
2) les launch services ne doivent pas permettre l'ouverture automatique d'un fichier à double extensions connu.
Automatique ?
Je me suis mal exprimé "ouverture automatique" = "ouverture sans prévenir l'utilisateur au préalable".
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
lists
JP wrote:
Si tu changes l'extension, tu n'as plus de virus ! Si tu changes d'icône, ton virus est toujours là.
C'est une blague ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
JP <nobody@replay.com> wrote:
Si tu changes l'extension, tu n'as plus de virus ! Si tu changes
d'icône, ton virus est toujours là.
C'est une blague ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Si tu changes l'extension, tu n'as plus de virus ! Si tu changes d'icône, ton virus est toujours là.
C'est une blague ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
lists
Éric Lévénez wrote:
Quand tu émets un email, il passe à travers le Firewall, que ce soit à partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus envoyait l'email en local. (à moins que j'ai mal compris).
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise quel port ?)
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Quand tu émets un email, il passe à travers le Firewall, que ce soit à
partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à
smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus
envoyait l'email en local. (à moins que j'ai mal compris).
La question est donc : est-il possible de configurer le firewall pour
empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise
quel port ?)
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Quand tu émets un email, il passe à travers le Firewall, que ce soit à partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus envoyait l'email en local. (à moins que j'ai mal compris).
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise quel port ?)
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
jalon
Éric Lévénez wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Parce que les launch services savent que ".0" n'est pas une extension connue. Les launch services savent ce qu'est une extension. Essaye ceci : 1) crée un fichier de texte "toto.txt" avec TextEdit (un fichier texte pur) Dans le Finder : 2) ouvrir les infos sur le fichier "toto.txt" et ouvrir le panneau "Nom et Extension" pour comprendre ce qu'il se passe (ne pas changer le nom par ce panneau, sinon c'est moins intéressant) 3) Modifier le nom du fichier "toto.txt" en "toto". Noter que dans le panneau, le vrai nom n'a pas changé mais que la propriété "Cacher l'extension" est cochée. 4) Modifier le nom du fichier en "tutu.txt". Noter que la propriété a été décochée. 5) Modifier le nom du fichier en "tutu 9.0". Noter que le Finder n'a rien demandé... 6) Modifier le nom du fichier en "tutu.mp3". Noter que là, le Finder demande confirmation.
Sachant que les launch-services sont le point central d'ouverture des fichiers, le fix d'Apple qui devrait apparaitre dans peu de temps va ressembler à peu de choses près à ça (c'est du pseudo-code) :
function openFile(filePath) { // This is the function used by Launch Services to open any file
// Security fix display_name = diplayed name of file at path filePath; displayed_extension = extension of display_name;
if((displayed_extension != '.app') and (displayed_extension is in launch services database)) { real_name = real name of file at path filePath; real_extension = extension of real_name; type = HFS type of file at path filePath; if((type == 'AAPL') or (real_extension == '.app')) { display an alert panel; if(user cancelled the operation) { return; } } }
// do the real job here }
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite. L'expérience utilisateur reste la même. On peut imaginer être encore plus parano et carrément avertir dès qu'il y a inadéquation entre les extensions.
Arrêtez de crier sur les extensions cachées ou les type de fichier... c'est un faux problème. Le vrai et seul problème qu'on ne pourra pas résoudre, c'est celui de l'icône.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
Éric Lévénez <news@levenez.com> wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Parce que les launch services savent que ".0" n'est pas une extension
connue. Les launch services savent ce qu'est une extension.
Essaye ceci :
1) crée un fichier de texte "toto.txt" avec TextEdit (un fichier texte
pur)
Dans le Finder :
2) ouvrir les infos sur le fichier "toto.txt" et ouvrir le panneau "Nom
et Extension" pour comprendre ce qu'il se passe (ne pas changer le
nom par ce panneau, sinon c'est moins intéressant)
3) Modifier le nom du fichier "toto.txt" en "toto". Noter que dans le
panneau, le vrai nom n'a pas changé mais que la propriété "Cacher
l'extension" est cochée.
4) Modifier le nom du fichier en "tutu.txt". Noter que la propriété a
été décochée.
5) Modifier le nom du fichier en "tutu 9.0". Noter que le Finder n'a
rien demandé...
6) Modifier le nom du fichier en "tutu.mp3". Noter que là, le Finder
demande confirmation.
Sachant que les launch-services sont le point central d'ouverture
des fichiers, le fix d'Apple qui devrait apparaitre dans peu de
temps va ressembler à peu de choses près à ça (c'est du pseudo-code) :
function openFile(filePath) {
// This is the function used by Launch Services to open any file
// Security fix
display_name = diplayed name of file at path filePath;
displayed_extension = extension of display_name;
if((displayed_extension != '.app') and
(displayed_extension is in launch services database)) {
real_name = real name of file at path filePath;
real_extension = extension of real_name;
type = HFS type of file at path filePath;
if((type == 'AAPL') or (real_extension == '.app')) {
display an alert panel;
if(user cancelled the operation) {
return;
}
}
}
// do the real job here
}
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas
fait tout de suite.
L'expérience utilisateur reste la même.
On peut imaginer être encore plus parano et carrément avertir dès qu'il
y a inadéquation entre les extensions.
Arrêtez de crier sur les extensions cachées ou les type de fichier...
c'est un faux problème. Le vrai et seul problème qu'on ne pourra pas
résoudre, c'est celui de l'icône.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Parce que les launch services savent que ".0" n'est pas une extension connue. Les launch services savent ce qu'est une extension. Essaye ceci : 1) crée un fichier de texte "toto.txt" avec TextEdit (un fichier texte pur) Dans le Finder : 2) ouvrir les infos sur le fichier "toto.txt" et ouvrir le panneau "Nom et Extension" pour comprendre ce qu'il se passe (ne pas changer le nom par ce panneau, sinon c'est moins intéressant) 3) Modifier le nom du fichier "toto.txt" en "toto". Noter que dans le panneau, le vrai nom n'a pas changé mais que la propriété "Cacher l'extension" est cochée. 4) Modifier le nom du fichier en "tutu.txt". Noter que la propriété a été décochée. 5) Modifier le nom du fichier en "tutu 9.0". Noter que le Finder n'a rien demandé... 6) Modifier le nom du fichier en "tutu.mp3". Noter que là, le Finder demande confirmation.
Sachant que les launch-services sont le point central d'ouverture des fichiers, le fix d'Apple qui devrait apparaitre dans peu de temps va ressembler à peu de choses près à ça (c'est du pseudo-code) :
function openFile(filePath) { // This is the function used by Launch Services to open any file
// Security fix display_name = diplayed name of file at path filePath; displayed_extension = extension of display_name;
if((displayed_extension != '.app') and (displayed_extension is in launch services database)) { real_name = real name of file at path filePath; real_extension = extension of real_name; type = HFS type of file at path filePath; if((type == 'AAPL') or (real_extension == '.app')) { display an alert panel; if(user cancelled the operation) { return; } } }
// do the real job here }
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite. L'expérience utilisateur reste la même. On peut imaginer être encore plus parano et carrément avertir dès qu'il y a inadéquation entre les extensions.
Arrêtez de crier sur les extensions cachées ou les type de fichier... c'est un faux problème. Le vrai et seul problème qu'on ne pourra pas résoudre, c'est celui de l'icône.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
jalon
Olivier Goldberg wrote:
Julien Jalon wrote:
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de les voir ou pas, ça n'a aucun intérêt.
Ben si. Si tu ne vois pas l'extension, tu peux aisément prendre un fichier musique_de_film.app pour de la musique. Pire si il s'appelle musique.mp3.app, vu que là, on verra le /mp3, ce qui ne fera tiquer que les utilisateurs-pas-lambda, les autres se disant "ah, un MP3".
Voir une autre de mes réponses avec le fix probable d'Apple.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
Olivier Goldberg <listes@ogoldberg.net> wrote:
Julien Jalon <jalon@julien-jalon.org> wrote:
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de
les voir ou pas, ça n'a aucun intérêt.
Ben si. Si tu ne vois pas l'extension, tu peux aisément prendre un
fichier musique_de_film.app pour de la musique. Pire si il s'appelle
musique.mp3.app, vu que là, on verra le /mp3, ce qui ne fera tiquer que
les utilisateurs-pas-lambda, les autres se disant "ah, un MP3".
Voir une autre de mes réponses avec le fix probable d'Apple.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de les voir ou pas, ça n'a aucun intérêt.
Ben si. Si tu ne vois pas l'extension, tu peux aisément prendre un fichier musique_de_film.app pour de la musique. Pire si il s'appelle musique.mp3.app, vu que là, on verra le /mp3, ce qui ne fera tiquer que les utilisateurs-pas-lambda, les autres se disant "ah, un MP3".
Voir une autre de mes réponses avec le fix probable d'Apple.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
listes
Julien Salort wrote:
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ?
Ben non, vu que le port utilisé par un smtp local est le même que celui pour te connecter au smtp de ton provider.
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Julien Salort <lists@juliensalort.org> wrote:
La question est donc : est-il possible de configurer le firewall pour
empêcher l'utilisation d'un serveur de mail local ?
Ben non, vu que le port utilisé par un smtp local est le même que celui
pour te connecter au smtp de ton provider.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ?
Ben non, vu que le port utilisé par un smtp local est le même que celui pour te connecter au smtp de ton provider.
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Patrick Stadelmann
In article , (Julien Jalon) wrote:
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite.
Parce que le virus n'a pas besoin d'avoir un .mp3 dans son nom pour ressembler à un fichier MP3 ! Si l'utilisateur est assez négligeant pour se dire "tiens, c'est un MP3 parce qu'il s'appelle toto.mp3", il sera se dira sans doute aussi "tiens, c'est un MP3 car il s'appelle toto mais il a un icône de MP3".
Patrick -- Patrick Stadelmann
In article <hb475c.se4.ln@joshua.julien-jalon.org>,
jalon@julien-jalon.org (Julien Jalon) wrote:
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas
fait tout de suite.
Parce que le virus n'a pas besoin d'avoir un .mp3 dans son nom pour
ressembler à un fichier MP3 ! Si l'utilisateur est assez négligeant pour
se dire "tiens, c'est un MP3 parce qu'il s'appelle toto.mp3", il sera se
dira sans doute aussi "tiens, c'est un MP3 car il s'appelle toto mais il
a un icône de MP3".
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite.
Parce que le virus n'a pas besoin d'avoir un .mp3 dans son nom pour ressembler à un fichier MP3 ! Si l'utilisateur est assez négligeant pour se dire "tiens, c'est un MP3 parce qu'il s'appelle toto.mp3", il sera se dira sans doute aussi "tiens, c'est un MP3 car il s'appelle toto mais il a un icône de MP3".
