ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui indique une application. C'est l'icône qui est trompeur, mais tout le monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est pas fiable pour déterminer le type d'un fichier.
Patrick -- Patrick Stadelmann
In article <h8m45c.rkp.ln@joshua.julien-jalon.org>,
jalon@julien-jalon.org (Julien Jalon) wrote:
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui
indique une application. C'est l'icône qui est trompeur, mais tout le
monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est
pas fiable pour déterminer le type d'un fichier.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui indique une application. C'est l'icône qui est trompeur, mais tout le monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est pas fiable pour déterminer le type d'un fichier.
Patrick -- Patrick Stadelmann
Éric Lévénez
Le 9/04/04 0:14, dans , « Patrick Stadelmann » a écrit :
In article <BC9B97E6.6E8D9%, Éric Lévénez wrote:
Le 8/04/04 23:39, dans , « Patrick Stadelmann » a écrit :
Non... On peut très bien faire une application dont l'icône est celle d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!!
Mais à part interdire aux applications d'avoir leur propre icônes, je vois pas de solution.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3. Et au moins avec cela en regardant un fichier .mp3, son icône dira qui va l'ouvrir (par exemple iTunes). Après ce sera à chaque utilisateur à savoir que si il clique sur un .app ou un .command... il lancera une application. Le problème de clic pour l'utilisateur ne vient que des fichiers "connus" comme les MP3, les GIF, les DOC... qui doivent rester des documents avec l'icône de l'application par défaut. Pour tout ce que l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait ce que fera l'icône.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 0:14, dans
<Patrick.Stadelmann-90F192.00144409042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
In article <BC9B97E6.6E8D9%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Le 8/04/04 23:39, dans
<Patrick.Stadelmann-6705BB.23392808042004@news.fu-berlin.de>, « Patrick
Stadelmann » <Patrick.Stadelmann@unine.ch> a écrit :
Non... On peut très bien faire une application dont l'icône est celle
d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!!
Mais à part interdire aux applications d'avoir leur propre icônes, je
vois pas de solution.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3. Et au moins avec cela en regardant un fichier .mp3, son icône dira qui
va l'ouvrir (par exemple iTunes). Après ce sera à chaque utilisateur à
savoir que si il clique sur un .app ou un .command... il lancera une
application. Le problème de clic pour l'utilisateur ne vient que des
fichiers "connus" comme les MP3, les GIF, les DOC... qui doivent rester des
documents avec l'icône de l'application par défaut. Pour tout ce que
l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait
ce que fera l'icône.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 0:14, dans , « Patrick Stadelmann » a écrit :
In article <BC9B97E6.6E8D9%, Éric Lévénez wrote:
Le 8/04/04 23:39, dans , « Patrick Stadelmann » a écrit :
Non... On peut très bien faire une application dont l'icône est celle d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!!
Mais à part interdire aux applications d'avoir leur propre icônes, je vois pas de solution.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3. Et au moins avec cela en regardant un fichier .mp3, son icône dira qui va l'ouvrir (par exemple iTunes). Après ce sera à chaque utilisateur à savoir que si il clique sur un .app ou un .command... il lancera une application. Le problème de clic pour l'utilisateur ne vient que des fichiers "connus" comme les MP3, les GIF, les DOC... qui doivent rester des documents avec l'icône de l'application par défaut. Pour tout ce que l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait ce que fera l'icône.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Éric Lévénez
Le 9/04/04 0:51, dans , « Julien Jalon » a écrit :
Éric Lévénez wrote:
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des extensions cachées, des type/créateurs cachés, des icônes modifiables, toute icône montrant un type de fichier peut être en fait un tout autre type de fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et la modification des icônes des fichiers, on aurait un système plus sûr : l'icône d'un document d'une application lancerait cette application.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Arf, tu recommences à dire n'importe quoi, mon cher ami...
Tu as vu comment tu quotes mon cher ami ?
L'extension est toujours visible dans une appli de mail (le fait que l'extension soit cachée étant une propriété propre à un fichier stocké sur un file-system HFS.
Il y a 3 problèmes : le type mime, l'extension du nom du fichier et le type/créateur. Toutes ces infos peuvent être contradictoire. Sur Windows c'est un problème bien connu des virus.
Les applications CFM n'ont pas forcément d'extensions .app, et c'est bien dommage.
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les types/créateurs et avec l'obligation d'utiliser et de voir les extensions, cela ne serait pas possible.
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur Mac OS.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 0:51, dans <f1l45c.ofp.ln@joshua.julien-jalon.org>, « Julien
Jalon » <jalon@julien-jalon.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des
extensions cachées, des type/créateurs cachés, des icônes modifiables, toute
icône montrant un type de fichier peut être en fait un tout autre type de
fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et
la modification des icônes des fichiers, on aurait un système plus sûr :
l'icône d'un document d'une application lancerait cette application.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Arf, tu recommences à dire n'importe quoi, mon cher ami...
Tu as vu comment tu quotes mon cher ami ?
L'extension est toujours visible dans une appli de mail (le fait que
l'extension soit cachée étant une propriété propre à un fichier stocké
sur un file-system HFS.
Il y a 3 problèmes : le type mime, l'extension du nom du fichier et le
type/créateur. Toutes ces infos peuvent être contradictoire. Sur Windows
c'est un problème bien connu des virus.
Les applications CFM n'ont pas forcément d'extensions .app, et c'est bien
dommage.
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les
types/créateurs et avec l'obligation d'utiliser et de voir les extensions,
cela ne serait pas possible.
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur
Mac OS.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 0:51, dans , « Julien Jalon » a écrit :
Éric Lévénez wrote:
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des extensions cachées, des type/créateurs cachés, des icônes modifiables, toute icône montrant un type de fichier peut être en fait un tout autre type de fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et la modification des icônes des fichiers, on aurait un système plus sûr : l'icône d'un document d'une application lancerait cette application.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Arf, tu recommences à dire n'importe quoi, mon cher ami...
Tu as vu comment tu quotes mon cher ami ?
L'extension est toujours visible dans une appli de mail (le fait que l'extension soit cachée étant une propriété propre à un fichier stocké sur un file-system HFS.
Il y a 3 problèmes : le type mime, l'extension du nom du fichier et le type/créateur. Toutes ces infos peuvent être contradictoire. Sur Windows c'est un problème bien connu des virus.
Les applications CFM n'ont pas forcément d'extensions .app, et c'est bien dommage.
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les types/créateurs et avec l'obligation d'utiliser et de voir les extensions, cela ne serait pas possible.
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur Mac OS.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
nobody
Éric Lévénez wrote:
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un moyen simple et immédiat de savoir à quoi on a affaire. Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
-- JP
Éric Lévénez <news@levenez.com> wrote:
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un moyen simple et immédiat de savoir à quoi on a affaire. Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
-- JP
Éric Lévénez
Le 9/04/04 8:15, dans <1gbyuo0.1dwp3w68f5yiwN%, « JP » a écrit :
Éric Lévénez wrote:
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un moyen simple et immédiat de savoir à quoi on a affaire. Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
Cela fait des années que j'ai parlé de ce problème d'informations masquées avec les risques de sécurité associés. Pour moi il faut que les informations soient affichées, c'est clair et net. Les macounets trouvaient que cela faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 8:15, dans <1gbyuo0.1dwp3w68f5yiwN%nobody@replay.com>, « JP »
<nobody@replay.com> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Cela fait des années que j'ai parlé de ce problème d'informations masquées
avec les risques de sécurité associés. Pour moi il faut que les informations
soient affichées, c'est clair et net. Les macounets trouvaient que cela
faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 8:15, dans <1gbyuo0.1dwp3w68f5yiwN%, « JP » a écrit :
Éric Lévénez wrote:
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application. Avec cela, une application sera repérable par son extension .app, même si elle a une icône MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un moyen simple et immédiat de savoir à quoi on a affaire. Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
Cela fait des années que j'ai parlé de ce problème d'informations masquées avec les risques de sécurité associés. Pour moi il faut que les informations soient affichées, c'est clair et net. Les macounets trouvaient que cela faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Patrick Stadelmann
In article <BC9C085D.6E8FF%, Éric Lévénez wrote:
Pour tout ce que l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait ce que fera l'icône.
Non, il doit vérifier le type via la vue par liste ou les infos (ou un clic-droit sur le fichier). Ca permet 1) de voir si c'est une appli ou pas et 2) de voir quelle appli va l'ouvrir si c'est un document.
Patrick -- Patrick Stadelmann
In article <BC9C085D.6E8FF%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Pour tout ce que
l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait
ce que fera l'icône.
Non, il doit vérifier le type via la vue par liste ou les infos (ou un
clic-droit sur le fichier). Ca permet 1) de voir si c'est une appli ou
pas et 2) de voir quelle appli va l'ouvrir si c'est un document.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Pour tout ce que l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait ce que fera l'icône.
Non, il doit vérifier le type via la vue par liste ou les infos (ou un clic-droit sur le fichier). Ca permet 1) de voir si c'est une appli ou pas et 2) de voir quelle appli va l'ouvrir si c'est un document.
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article <BC9C0D55.6E90A%, Éric Lévénez wrote:
Cela fait des années que j'ai parlé de ce problème d'informations masquées avec les risques de sécurité associés. Pour moi il faut que les informations soient affichées, c'est clair et net. Les macounets trouvaient que cela faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
Non ! Il faut juste chercher l'information au bon endroit !!!
- dans le nom du fichier... son nom ! - dans son icône... son icône ! - et dans son type... son type !!!
Pourquoi vouloir tout mélanger ?
Que le type soit dérivé de l'extension (visible ou pas), ou des mete-donnees, ou du contenu (le Finder utilise "file" dans certains cas) ce n'est pas le problème de l'utilisateur. Ce qui importe c'est qu'il ait accès de manière fiable au type finalement déterminé. Ce qui a toujours été le cas avec Mac OS, pour autant qu'on prenne la peine de regarder au bon endroit.
Patrick -- Patrick Stadelmann
In article <BC9C0D55.6E90A%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Cela fait des années que j'ai parlé de ce problème d'informations masquées
avec les risques de sécurité associés. Pour moi il faut que les informations
soient affichées, c'est clair et net. Les macounets trouvaient que cela
faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
Non ! Il faut juste chercher l'information au bon endroit !!!
- dans le nom du fichier... son nom !
- dans son icône... son icône !
- et dans son type... son type !!!
Pourquoi vouloir tout mélanger ?
Que le type soit dérivé de l'extension (visible ou pas), ou des
mete-donnees, ou du contenu (le Finder utilise "file" dans certains cas)
ce n'est pas le problème de l'utilisateur. Ce qui importe c'est qu'il
ait accès de manière fiable au type finalement déterminé. Ce qui a
toujours été le cas avec Mac OS, pour autant qu'on prenne la peine de
regarder au bon endroit.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Cela fait des années que j'ai parlé de ce problème d'informations masquées avec les risques de sécurité associés. Pour moi il faut que les informations soient affichées, c'est clair et net. Les macounets trouvaient que cela faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
Non ! Il faut juste chercher l'information au bon endroit !!!
- dans le nom du fichier... son nom ! - dans son icône... son icône ! - et dans son type... son type !!!
Pourquoi vouloir tout mélanger ?
Que le type soit dérivé de l'extension (visible ou pas), ou des mete-donnees, ou du contenu (le Finder utilise "file" dans certains cas) ce n'est pas le problème de l'utilisateur. Ce qui importe c'est qu'il ait accès de manière fiable au type finalement déterminé. Ce qui a toujours été le cas avec Mac OS, pour autant qu'on prenne la peine de regarder au bon endroit.
Patrick -- Patrick Stadelmann
phpinfo
patpro ~ patrick proniewski wrote:
c'est pas n'importe quoi, ca a été discuté ici dans une enfilade de plus de 65 messages, pas plus tard que cette semaine.
En effet et je trouve bien étrange que quelques jours (2 jours pour être exact) après notre discussion sur *exactement* cela, INTEGO annonce un nouveau cheval de troie... Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit malin ayant lus cette enfilade a cru bon de créer la chose mais en quelques jours que ce soit crées et que INTEGO le repère montre soit leur grande réactivité, soit...
Il s'agit juste d'une appli carbon nommée truc.mp3, contenant en data un vrai mp3 et dont le code viral est dans un tag ID3. L'amorce du fichier fait en sorte que le code contenu dans le tag ID3 soit executé.
C'est pas tout à fait ça. C'est juste une application qui se nomme truc.mp3 et qui une fois lancé peut exécuter du code malicieux (comme n'importe quelle aplication) et qui pour mieux tromper son monde lance iTunes. Je ne vois aucun rapport avec les fameux tag ID3...
Voir l'enfilade sur ce sujet : Message-ID: <1gbu1mk.1f1pvi41a44zmkN%
Cette enfilade avait été crée après une discussion sur ce même problème potentiel sur <comp.sys.mac.programmer.misc> le 18/03/2004.
Rappellons qu'il ne s'agit de rien de bien neuf (une application déguisée) mais qu'il covient de rester prudent bien évidemment.
Attendons de voir la suite du relai de cette informations par d'autres éditeur d'anti-virus.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
c'est pas n'importe quoi, ca a été discuté ici dans une enfilade de plus
de 65 messages, pas plus tard que cette semaine.
En effet et je trouve bien étrange que quelques jours (2 jours pour être
exact) après notre discussion sur *exactement* cela, INTEGO annonce un
nouveau cheval de troie...
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit
malin ayant lus cette enfilade a cru bon de créer la chose mais en
quelques jours que ce soit crées et que INTEGO le repère montre soit
leur grande réactivité, soit...
Il s'agit juste d'une appli carbon nommée truc.mp3, contenant en data un
vrai mp3 et dont le code viral est dans un tag ID3. L'amorce du fichier
fait en sorte que le code contenu dans le tag ID3 soit executé.
C'est pas tout à fait ça. C'est juste une application qui se nomme
truc.mp3 et qui une fois lancé peut exécuter du code malicieux (comme
n'importe quelle aplication) et qui pour mieux tromper son monde lance
iTunes.
Je ne vois aucun rapport avec les fameux tag ID3...
Voir l'enfilade sur ce sujet :
Message-ID: <1gbu1mk.1f1pvi41a44zmkN%ADDRESS@IN.SIG>
Cette enfilade avait été crée après une discussion sur ce même problème
potentiel sur <comp.sys.mac.programmer.misc> le 18/03/2004.
Rappellons qu'il ne s'agit de rien de bien neuf (une application
déguisée) mais qu'il covient de rester prudent bien évidemment.
Attendons de voir la suite du relai de cette informations par d'autres
éditeur d'anti-virus.
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
c'est pas n'importe quoi, ca a été discuté ici dans une enfilade de plus de 65 messages, pas plus tard que cette semaine.
En effet et je trouve bien étrange que quelques jours (2 jours pour être exact) après notre discussion sur *exactement* cela, INTEGO annonce un nouveau cheval de troie... Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit malin ayant lus cette enfilade a cru bon de créer la chose mais en quelques jours que ce soit crées et que INTEGO le repère montre soit leur grande réactivité, soit...
Il s'agit juste d'une appli carbon nommée truc.mp3, contenant en data un vrai mp3 et dont le code viral est dans un tag ID3. L'amorce du fichier fait en sorte que le code contenu dans le tag ID3 soit executé.
C'est pas tout à fait ça. C'est juste une application qui se nomme truc.mp3 et qui une fois lancé peut exécuter du code malicieux (comme n'importe quelle aplication) et qui pour mieux tromper son monde lance iTunes. Je ne vois aucun rapport avec les fameux tag ID3...
Voir l'enfilade sur ce sujet : Message-ID: <1gbu1mk.1f1pvi41a44zmkN%
Cette enfilade avait été crée après une discussion sur ce même problème potentiel sur <comp.sys.mac.programmer.misc> le 18/03/2004.
Rappellons qu'il ne s'agit de rien de bien neuf (une application déguisée) mais qu'il covient de rester prudent bien évidemment.
Attendons de voir la suite du relai de cette informations par d'autres éditeur d'anti-virus.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
phpinfo
Patrick Stadelmann wrote:
Le virus est probablement dérivé de :
Si cette alerte est sérieuse c'est probablement en effet de là que ça vient...
Le code se trouve bien dans un tag MP3.
Là je te suis pas, virus.mp3 est tout simplement une application, je ne vois pas le rapport avec les tags ID3. le MP3 encapsulé fait parti du camouflage mais ce n'est en aucun cas iTunes ou QuickTime Player qui active le virus mais bien le fait de lancer le fichier depuis le Finder.
Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il ne se cache même pas : c'est une application camouflé en pseudo MP3.
un moyen sur de se prémunir est peut être de définir depuis le Finder que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes; ainsi ça évitera les double-clics malheureux.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
Le virus est probablement dérivé de :
<blgl-5D750C.02150821032004@news.bahnhof.se>
Si cette alerte est sérieuse c'est probablement en effet de là que ça
vient...
Le code se trouve bien dans un tag MP3.
Là je te suis pas, virus.mp3 est tout simplement une application, je ne
vois pas le rapport avec les tags ID3. le MP3 encapsulé fait parti du
camouflage mais ce n'est en aucun cas iTunes ou QuickTime Player qui
active le virus mais bien le fait de lancer le fichier depuis le Finder.
Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il
ne se cache même pas : c'est une application camouflé en pseudo MP3.
un moyen sur de se prémunir est peut être de définir depuis le Finder
que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes;
ainsi ça évitera les double-clics malheureux.
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Si cette alerte est sérieuse c'est probablement en effet de là que ça vient...
Le code se trouve bien dans un tag MP3.
Là je te suis pas, virus.mp3 est tout simplement une application, je ne vois pas le rapport avec les tags ID3. le MP3 encapsulé fait parti du camouflage mais ce n'est en aucun cas iTunes ou QuickTime Player qui active le virus mais bien le fait de lancer le fichier depuis le Finder.
Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il ne se cache même pas : c'est une application camouflé en pseudo MP3.
un moyen sur de se prémunir est peut être de définir depuis le Finder que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes; ainsi ça évitera les double-clics malheureux.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
phpinfo
Éric Lévénez wrote:
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur Mac OS.
C'est bien mon impression aussi; d'autant que cet exemple de MP3 camouflé en application a été discuté ici même il y a 2 jours !
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
Éric Lévénez <news@levenez.com> wrote:
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur
Mac OS.
C'est bien mon impression aussi; d'autant que cet exemple de MP3
camouflé en application a été discuté ici même il y a 2 jours !
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
