ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Mais il semble qu'il y ait un contrôle à la reception : http://homepage.mac.com/kaicherry/mail.jpg
Et oui Apple a bien fait les choses. Apple 1 point Intego 0 point. -- Fra
lists
Olivier Goldberg wrote:
Ben non, vu que le port utilisé par un smtp local est le même que celui pour te connecter au smtp de ton provider.
OK. C'est dommage. Et il n'est pas possible de n'autoriser qu'une seule application à utiliser le port ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Olivier Goldberg <listes@ogoldberg.net> wrote:
Ben non, vu que le port utilisé par un smtp local est le même que celui
pour te connecter au smtp de ton provider.
OK. C'est dommage.
Et il n'est pas possible de n'autoriser qu'une seule application à
utiliser le port ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Ben non, vu que le port utilisé par un smtp local est le même que celui pour te connecter au smtp de ton provider.
OK. C'est dommage. Et il n'est pas possible de n'autoriser qu'une seule application à utiliser le port ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Patrick Stadelmann
In article <1gc0twu.1j77hn4zz9hesN%, (Julien Salort) wrote:
Et il n'est pas possible de n'autoriser qu'une seule application à utiliser le port ?
Ca doit être possible avec un un soft genre LittleSnitch : http://www.obdev.at/products/littlesnitch/
Patrick -- Patrick Stadelmann
In article <1gc0twu.1j77hn4zz9hesN%lists@juliensalort.org>,
lists@juliensalort.org (Julien Salort) wrote:
Et il n'est pas possible de n'autoriser qu'une seule application à
utiliser le port ?
Ca doit être possible avec un un soft genre LittleSnitch :
http://www.obdev.at/products/littlesnitch/
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
In article <1gc0twu.1j77hn4zz9hesN%, (Julien Salort) wrote:
Et il n'est pas possible de n'autoriser qu'une seule application à utiliser le port ?
Ca doit être possible avec un un soft genre LittleSnitch : http://www.obdev.at/products/littlesnitch/
Patrick -- Patrick Stadelmann
listes
Patrick Stadelmann wrote:
Ca doit être possible avec un un soft genre LittleSnitch : http://www.obdev.at/products/littlesnitch/
Toutafé. Ce soft est mal, bien que très envahissant au début de son fonctionnement (vu qu'il demande ce qu'il doit faire de CHAQUE appel réseau. Mais bon, il apprend vite...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Ca doit être possible avec un un soft genre LittleSnitch :
http://www.obdev.at/products/littlesnitch/
Toutafé.
Ce soft est mal, bien que très envahissant au début de son
fonctionnement (vu qu'il demande ce qu'il doit faire de CHAQUE appel
réseau. Mais bon, il apprend vite...
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Ca doit être possible avec un un soft genre LittleSnitch : http://www.obdev.at/products/littlesnitch/
Toutafé. Ce soft est mal, bien que très envahissant au début de son fonctionnement (vu qu'il demande ce qu'il doit faire de CHAQUE appel réseau. Mais bon, il apprend vite...
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
Éric Lévénez
Le 9/04/04 23:07, dans <1gbzzvx.1t735wbxbfrnqN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Quand tu émets un email, il passe à travers le Firewall, que ce soit à partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus envoyait l'email en local. (à moins que j'ai mal compris).
Oui, tu as mal compris. Les virus intègrent souvent un client SMPT embarqué dans le code pour ne pas appeler des services de l'OS qui sont parfois sous surveillance d'anti-virus.
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise quel port ?)
Tout client SMTP utilise le même numéro de port en sortie. Le firewall laisse passer ce port sinon on ne pourrait pas mailer. Mais même si un firewall vérifiait le programme qui demande l'ouverture du port, cela ne suffirait pas car un programme peut en simuler un autre ou même appeler directement un programme "sûr".
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 23:07, dans <1gbzzvx.1t735wbxbfrnqN%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Quand tu émets un email, il passe à travers le Firewall, que ce soit à
partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à
smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus
envoyait l'email en local. (à moins que j'ai mal compris).
Oui, tu as mal compris. Les virus intègrent souvent un client SMPT embarqué
dans le code pour ne pas appeler des services de l'OS qui sont parfois sous
surveillance d'anti-virus.
La question est donc : est-il possible de configurer le firewall pour
empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise
quel port ?)
Tout client SMTP utilise le même numéro de port en sortie. Le firewall
laisse passer ce port sinon on ne pourrait pas mailer. Mais même si un
firewall vérifiait le programme qui demande l'ouverture du port, cela ne
suffirait pas car un programme peut en simuler un autre ou même appeler
directement un programme "sûr".
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 23:07, dans <1gbzzvx.1t735wbxbfrnqN%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Quand tu émets un email, il passe à travers le Firewall, que ce soit à partir de Mail ou de Virus.mp3, la connexion extérieure se fera.
La différence, me semblait-il, c'est que Mail se connecte à smtp.wanadoo.fr alors que ton poste laissait sous entendre que le virus envoyait l'email en local. (à moins que j'ai mal compris).
Oui, tu as mal compris. Les virus intègrent souvent un client SMPT embarqué dans le code pour ne pas appeler des services de l'OS qui sont parfois sous surveillance d'anti-virus.
La question est donc : est-il possible de configurer le firewall pour empêcher l'utilisation d'un serveur de mail local ? (sendmail utilise quel port ?)
Tout client SMTP utilise le même numéro de port en sortie. Le firewall laisse passer ce port sinon on ne pourrait pas mailer. Mais même si un firewall vérifiait le programme qui demande l'ouverture du port, cela ne suffirait pas car un programme peut en simuler un autre ou même appeler directement un programme "sûr".
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Éric Lévénez
Le 9/04/04 23:25, dans , « Julien Jalon » a écrit :
[snip mauvaise compréhension des extensions]
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite. L'expérience utilisateur reste la même. On peut imaginer être encore plus parano et carrément avertir dès qu'il y a inadéquation entre les extensions.
Tu oublies largement que mon exemple volontairement simpliste n'était qu'un piège où tu t'es rué. Tu penses qu'un point dans un nom de fichier ne peut être suivie que par une suite de caractère invalide du point de vue des extensions connues. C'est faux bien sûr. Et cela sans même parler du fait que le virus lui-même peut définir ce qu'il veut comme extension pour ses documents.
Arrêtez de crier sur les extensions cachées ou les type de fichier...
Pourquoi ? C'est là le coeur du problème : ce qui est caché !
c'est un faux problème.
C'est un problème majeur dont on parle depuis des années sur fcsm et dont les macounets ne veulent pas entendre préférant faire la sourde oreille.
Le vrai et seul problème qu'on ne pourra pas résoudre, c'est celui de l'icône.
C'est aussi un problème que NeXT avait résolu en interdisant les icônes personnifiées sur les documents. Les icônes ne pouvant venir que des applications. Mais pour faire plaisir aux macounets, la gestion des icônes a été changée et on voit les problèmes aujourd'hui avec ce cheval de Troie.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 23:25, dans <hb475c.se4.ln@joshua.julien-jalon.org>, « Julien
Jalon » <jalon@julien-jalon.org> a écrit :
[snip mauvaise compréhension des extensions]
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas
fait tout de suite.
L'expérience utilisateur reste la même.
On peut imaginer être encore plus parano et carrément avertir dès qu'il
y a inadéquation entre les extensions.
Tu oublies largement que mon exemple volontairement simpliste n'était qu'un
piège où tu t'es rué. Tu penses qu'un point dans un nom de fichier ne peut
être suivie que par une suite de caractère invalide du point de vue des
extensions connues. C'est faux bien sûr. Et cela sans même parler du fait
que le virus lui-même peut définir ce qu'il veut comme extension pour ses
documents.
Arrêtez de crier sur les extensions cachées ou les type de fichier...
Pourquoi ? C'est là le coeur du problème : ce qui est caché !
c'est un faux problème.
C'est un problème majeur dont on parle depuis des années sur fcsm et dont
les macounets ne veulent pas entendre préférant faire la sourde oreille.
Le vrai et seul problème qu'on ne pourra pas
résoudre, c'est celui de l'icône.
C'est aussi un problème que NeXT avait résolu en interdisant les icônes
personnifiées sur les documents. Les icônes ne pouvant venir que des
applications. Mais pour faire plaisir aux macounets, la gestion des icônes a
été changée et on voit les problèmes aujourd'hui avec ce cheval de Troie.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 23:25, dans , « Julien Jalon » a écrit :
[snip mauvaise compréhension des extensions]
Et c'est fini. Je ne comprends toujours pas pourquoi Apple ne l'a pas fait tout de suite. L'expérience utilisateur reste la même. On peut imaginer être encore plus parano et carrément avertir dès qu'il y a inadéquation entre les extensions.
Tu oublies largement que mon exemple volontairement simpliste n'était qu'un piège où tu t'es rué. Tu penses qu'un point dans un nom de fichier ne peut être suivie que par une suite de caractère invalide du point de vue des extensions connues. C'est faux bien sûr. Et cela sans même parler du fait que le virus lui-même peut définir ce qu'il veut comme extension pour ses documents.
Arrêtez de crier sur les extensions cachées ou les type de fichier...
Pourquoi ? C'est là le coeur du problème : ce qui est caché !
c'est un faux problème.
C'est un problème majeur dont on parle depuis des années sur fcsm et dont les macounets ne veulent pas entendre préférant faire la sourde oreille.
Le vrai et seul problème qu'on ne pourra pas résoudre, c'est celui de l'icône.
C'est aussi un problème que NeXT avait résolu en interdisant les icônes personnifiées sur les documents. Les icônes ne pouvant venir que des applications. Mais pour faire plaisir aux macounets, la gestion des icônes a été changée et on voit les problèmes aujourd'hui avec ce cheval de Troie.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
benoistf
Olivier Goldberg wrote:
En résumé, un virus pour Mac circule sous la forme d'un fichier avec l'extension .mp3 La réaction d'Apple :
" Attention ! Il y a dans l'archive un exemplaire du Troyen actif ! Ne le lancez pas, ne le diffusez pas pour jouer !! Il sert uniquement à tester le logiciel. D'ailleurs, Virus Barrier s'est manifesté au moment de la décompression de l'archive".
champion du monde. Y'en a qui devraient s'inquiéter un peu plus de la loi française quand ils diffusent ce genre de logiciel.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <1gc10bp.1mk755v115ivliN%oz@abprz.org>,
oz@abprz.org (Bruno Melonio) wrote:
"Julien a écrit un logiciel en AppleScript Studio qui détecte les
chevaux de Troie comme celui que l'on a découvert avant hier".
" Attention ! Il y a dans l'archive un exemplaire du Troyen actif ! Ne
le lancez pas, ne le diffusez pas pour jouer !! Il sert uniquement à
tester le logiciel.
D'ailleurs, Virus Barrier s'est manifesté au moment de la décompression
de l'archive".
champion du monde. Y'en a qui devraient s'inquiéter un peu plus de la
loi française quand ils diffusent ce genre de logiciel.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
" Attention ! Il y a dans l'archive un exemplaire du Troyen actif ! Ne le lancez pas, ne le diffusez pas pour jouer !! Il sert uniquement à tester le logiciel. D'ailleurs, Virus Barrier s'est manifesté au moment de la décompression de l'archive".
champion du monde. Y'en a qui devraient s'inquiéter un peu plus de la loi française quand ils diffusent ce genre de logiciel.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
