ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Je me suis envoyé le cheval de Troie par email, Mail n'a rien affiché de spécial.
Ah! Il est fonctionnel? Il était encapsulé dans un dmg ou sit ? -- Fra
Éric Lévénez
Le 13/04/04 13:10, dans <1gc6n9e.6jvykpqbl203N%, « Fra » a écrit :
Éric Lévénez wrote:
Je me suis envoyé le cheval de Troie par email, Mail n'a rien affiché de spécial.
Ah! Il est fonctionnel? Il était encapsulé dans un dmg ou sit ?
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit directement par glisser/déplacer (donc le format AppleDouble de Mail), soit dans un Zip (de Panther).
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 13/04/04 13:10, dans <1gc6n9e.6jvykpqbl203N%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Je me suis envoyé le cheval de Troie par email, Mail n'a rien affiché de
spécial.
Ah! Il est fonctionnel? Il était encapsulé dans un dmg ou sit ?
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit
directement par glisser/déplacer (donc le format AppleDouble de Mail), soit
dans un Zip (de Panther).
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 13/04/04 13:10, dans <1gc6n9e.6jvykpqbl203N%, « Fra » a écrit :
Éric Lévénez wrote:
Je me suis envoyé le cheval de Troie par email, Mail n'a rien affiché de spécial.
Ah! Il est fonctionnel? Il était encapsulé dans un dmg ou sit ?
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit directement par glisser/déplacer (donc le format AppleDouble de Mail), soit dans un Zip (de Panther).
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Patrick Stadelmann
In article <BCA197C2.6ED12%, Éric Lévénez wrote:
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit directement par glisser/déplacer (donc le format AppleDouble de Mail), soit dans un Zip (de Panther).
Avec la config par défaut, Mail envoie le virus en Apple Double, avec une partie codée en "audio/mpeg" et une en "application/applefile".
Quand Mail reçoit le message, l'attachement a une icône d'application et on a droit à une alerte quand on veut l'ouvrir.
J'ai fait 2-3 autres tests :
Avec Mozilla (envoi + réception) l'attachement a l'air d'un MP3, mais est sauvé comme une application (Mozilla envoie aussi de l'Apple Double)
Si l'on croise : Mozilla -> Mail : Mail se comporte comme quand c'est lui qui a envoyé le mail.
Mail -> Mozilla : Attachement vu comme un MP3, quand on le sauve on obtient un document MP3 (la partie ressource est préservée, mais Mozilla ne met pas le champ HFS type à "APPL" donc le virus n'est pas exécutable).
Patrick -- Patrick Stadelmann
In article <BCA197C2.6ED12%news@levenez.com>,
Éric Lévénez <news@levenez.com> wrote:
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit
directement par glisser/déplacer (donc le format AppleDouble de Mail), soit
dans un Zip (de Panther).
Avec la config par défaut, Mail envoie le virus en Apple Double, avec
une partie codée en "audio/mpeg" et une en "application/applefile".
Quand Mail reçoit le message, l'attachement a une icône d'application et
on a droit à une alerte quand on veut l'ouvrir.
J'ai fait 2-3 autres tests :
Avec Mozilla (envoi + réception) l'attachement a l'air d'un MP3, mais
est sauvé comme une application (Mozilla envoie aussi de l'Apple Double)
Si l'on croise : Mozilla -> Mail : Mail se comporte comme quand c'est
lui qui a envoyé le mail.
Mail -> Mozilla : Attachement vu comme un MP3, quand on le sauve on
obtient un document MP3 (la partie ressource est préservée, mais Mozilla
ne met pas le champ HFS type à "APPL" donc le virus n'est pas
exécutable).
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Je ne sais plus, j'ai fait cela il y a 2/3 jours. Mais c'était soit directement par glisser/déplacer (donc le format AppleDouble de Mail), soit dans un Zip (de Panther).
Avec la config par défaut, Mail envoie le virus en Apple Double, avec une partie codée en "audio/mpeg" et une en "application/applefile".
Quand Mail reçoit le message, l'attachement a une icône d'application et on a droit à une alerte quand on veut l'ouvrir.
J'ai fait 2-3 autres tests :
Avec Mozilla (envoi + réception) l'attachement a l'air d'un MP3, mais est sauvé comme une application (Mozilla envoie aussi de l'Apple Double)
Si l'on croise : Mozilla -> Mail : Mail se comporte comme quand c'est lui qui a envoyé le mail.
Mail -> Mozilla : Attachement vu comme un MP3, quand on le sauve on obtient un document MP3 (la partie ressource est préservée, mais Mozilla ne met pas le champ HFS type à "APPL" donc le virus n'est pas exécutable).
Patrick -- Patrick Stadelmann
Nicolas.MICHEL
Fra wrote:
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu veuilles bien l'envoyer. Il ira certainement consulter ton carnet d'adresse et utilisera poftfix pour se répendre ensuite, s'il n'installes pas son propre serveur smpt. -- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
Fra <fra@alussinan.org> wrote:
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu
veuilles bien l'envoyer. Il ira certainement consulter ton carnet
d'adresse et utilisera poftfix pour se répendre ensuite, s'il
n'installes pas son propre serveur smpt.
--
S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes
iChat/AIM : michelnicolas
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu veuilles bien l'envoyer. Il ira certainement consulter ton carnet d'adresse et utilisera poftfix pour se répendre ensuite, s'il n'installes pas son propre serveur smpt. -- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
laurent.pertois
Fra wrote:
Laurent Pertois wrote:
Il semble pourtant que le virus existe, enfin, la possibilité de le faire,
"la possiblité" donc pas le virus lui même
La possibilité est plus que suffisante pour qu'un tordu le fasse...
[...]
Enfin, seul Mail fournit cette alerte, pas le Finder.
C'est déjà pas mal, les virus arrivent par mail de nos jours.
Tout le monde n'utilise pas Mail et en plus, voir les tests d'Éric et Patrick.
Et puis, c'est marrant cette suspicion systématique ;-)
C'est la parano! ;) N'empèche que ça arrangerait bien les affaires d'Intego que qqun développe ce virus donc autant diffuser l'info...
Bah, au moins, ça fait parler de cette "possibilité" et permet de renforcer un peu les utilisateurs Mac dans leur attention.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Il semble pourtant que le virus existe, enfin, la possibilité de le
faire,
"la possiblité" donc pas le virus lui même
La possibilité est plus que suffisante pour qu'un tordu le fasse...
[...]
Enfin, seul Mail fournit cette alerte, pas le Finder.
C'est déjà pas mal, les virus arrivent par mail de nos jours.
Tout le monde n'utilise pas Mail et en plus, voir les tests d'Éric et
Patrick.
Et puis, c'est marrant cette suspicion systématique ;-)
C'est la parano! ;) N'empèche que ça arrangerait bien les affaires
d'Intego que qqun développe ce virus donc autant diffuser l'info...
Bah, au moins, ça fait parler de cette "possibilité" et permet de
renforcer un peu les utilisateurs Mac dans leur attention.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Il semble pourtant que le virus existe, enfin, la possibilité de le faire,
"la possiblité" donc pas le virus lui même
La possibilité est plus que suffisante pour qu'un tordu le fasse...
[...]
Enfin, seul Mail fournit cette alerte, pas le Finder.
C'est déjà pas mal, les virus arrivent par mail de nos jours.
Tout le monde n'utilise pas Mail et en plus, voir les tests d'Éric et Patrick.
Et puis, c'est marrant cette suspicion systématique ;-)
C'est la parano! ;) N'empèche que ça arrangerait bien les affaires d'Intego que qqun développe ce virus donc autant diffuser l'info...
Bah, au moins, ça fait parler de cette "possibilité" et permet de renforcer un peu les utilisateurs Mac dans leur attention.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
laurent.pertois
Patrick Stadelmann wrote:
En fait, le virus étant une application, il a son propre icône (qui est celui d'un doc MP3). Donc même si le Finder ne se basait pas du tout sur l'extension, le virus aurait le même icône. Je viens de vérifier avec un compte où le défaut pour les MP3 est QuickTime Player et non pas iTunes. Le virus s'affiche toujours avec l'icône MP3 iTunes.
Ok, dans ce cas, ils ont visé au plus large, remarque, c'est comme les trucs sur PC qui visent Outlook (Express ou non) pour se diffuser.
De même, si le virus est renommée en virus.jpg, il n'affiche pas pour autant un icône je fichier JPEG. Le Finder ne se trompe donc pas du tout.
Merci de ton test, je n'ai pas vérifié car je n'ai pas pris le temps de récupérer le paquet contenant les exemples, il faut que je regarde ça ce soir.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
En fait, le virus étant une application, il a son propre icône (qui est
celui d'un doc MP3). Donc même si le Finder ne se basait pas du tout sur
l'extension, le virus aurait le même icône. Je viens de vérifier avec un
compte où le défaut pour les MP3 est QuickTime Player et non pas iTunes.
Le virus s'affiche toujours avec l'icône MP3 iTunes.
Ok, dans ce cas, ils ont visé au plus large, remarque, c'est comme les
trucs sur PC qui visent Outlook (Express ou non) pour se diffuser.
De même, si le virus est renommée en virus.jpg, il n'affiche pas pour
autant un icône je fichier JPEG. Le Finder ne se trompe donc pas du tout.
Merci de ton test, je n'ai pas vérifié car je n'ai pas pris le temps de
récupérer le paquet contenant les exemples, il faut que je regarde ça ce
soir.
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
En fait, le virus étant une application, il a son propre icône (qui est celui d'un doc MP3). Donc même si le Finder ne se basait pas du tout sur l'extension, le virus aurait le même icône. Je viens de vérifier avec un compte où le défaut pour les MP3 est QuickTime Player et non pas iTunes. Le virus s'affiche toujours avec l'icône MP3 iTunes.
Ok, dans ce cas, ils ont visé au plus large, remarque, c'est comme les trucs sur PC qui visent Outlook (Express ou non) pour se diffuser.
De même, si le virus est renommée en virus.jpg, il n'affiche pas pour autant un icône je fichier JPEG. Le Finder ne se trompe donc pas du tout.
Merci de ton test, je n'ai pas vérifié car je n'ai pas pris le temps de récupérer le paquet contenant les exemples, il faut que je regarde ça ce soir.
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
laurent.pertois
Fra wrote:
Laurent Pertois wrote:
Désolé, mais si, le Finder se trompe partiellement, il affiche bien une icone de fichier MP3 en se basant sur l'extension,
Même sans icone personnalisée?
ATPM, c'est l'icone par défaut de cette appli.
Ouais effectivement c'est un bug...
Nope, m'a trompé. Cela dit, ça reste quand même un troyen qui pourrait faire des dégâts, le double-clic est une habitude assez répandu sur Mac.
même si quand on double-clique il lance bien l'élément tel qu'il est, une application en se basant sur le code type.
...surtout si il le lance comme appli.
Ben, c'est une appli :)
Si le système est capable de reconnaitre comme appli, le finder devrait en être capable aussi. Ca devrait être corrigé facilement par Apple. (même si ça ne résoud pas le pb de l'icone personalisée... mais bon ça fait 20 ans que c'est comme ça et on est plutôt peu atteint par les virus)
J'espère effectivement une réaction d'Apple, laquelle...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Désolé, mais si, le Finder se trompe partiellement, il affiche bien une
icone de fichier MP3 en se basant sur l'extension,
Même sans icone personnalisée?
ATPM, c'est l'icone par défaut de cette appli.
Ouais effectivement c'est un bug...
Nope, m'a trompé. Cela dit, ça reste quand même un troyen qui pourrait
faire des dégâts, le double-clic est une habitude assez répandu sur Mac.
même si quand on double-clique il lance bien l'élément tel qu'il est, une
application en se basant sur le code type.
...surtout si il le lance comme appli.
Ben, c'est une appli :)
Si le système est capable de reconnaitre comme appli, le finder devrait
en être capable aussi. Ca devrait être corrigé facilement par Apple.
(même si ça ne résoud pas le pb de l'icone personalisée... mais bon ça
fait 20 ans que c'est comme ça et on est plutôt peu atteint par les
virus)
J'espère effectivement une réaction d'Apple, laquelle...
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Désolé, mais si, le Finder se trompe partiellement, il affiche bien une icone de fichier MP3 en se basant sur l'extension,
Même sans icone personnalisée?
ATPM, c'est l'icone par défaut de cette appli.
Ouais effectivement c'est un bug...
Nope, m'a trompé. Cela dit, ça reste quand même un troyen qui pourrait faire des dégâts, le double-clic est une habitude assez répandu sur Mac.
même si quand on double-clique il lance bien l'élément tel qu'il est, une application en se basant sur le code type.
...surtout si il le lance comme appli.
Ben, c'est une appli :)
Si le système est capable de reconnaitre comme appli, le finder devrait en être capable aussi. Ca devrait être corrigé facilement par Apple. (même si ça ne résoud pas le pb de l'icone personalisée... mais bon ça fait 20 ans que c'est comme ça et on est plutôt peu atteint par les virus)
J'espère effectivement une réaction d'Apple, laquelle...
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
fra
Nicolas MICHEL wrote:
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu veuilles bien l'envoyer.
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Il ira certainement consulter ton carnet d'adresse et [...]
Bein justement je ne lui confie pas mes adresses mail. -- Fra
Nicolas MICHEL <Nicolas.MICHEL@BonBon.net> wrote:
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu
veuilles bien l'envoyer.
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je
lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me
causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Il ira certainement consulter ton carnet
d'adresse et [...]
Bein justement je ne lui confie pas mes adresses mail.
--
Fra
Y'a beaucoup de gens qui s'échangent des mp3 par mail ???
Non, mais un tel virus (trojan, pardon) ne vas pas attendre que tu veuilles bien l'envoyer.
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Il ira certainement consulter ton carnet d'adresse et [...]
Bein justement je ne lui confie pas mes adresses mail. -- Fra
pas.de.spam
Fra wrote:
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
un peu comme la chauve souris enragée...
j'ai peur des vilains trojan qui se peuvent se cacher dans les mp3. -- PO. qui n'a JAMAIS téléchargé ni de mp3, ni de divX, ....si c'est vrai !
Pour m'écrire : po(point)taubaty(arobase)wanadoo(point)fr
Fra <fra@alussinan.org> wrote:
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je
lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me
causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
un peu comme la chauve souris enragée...
j'ai peur des vilains trojan qui se peuvent se cacher dans les mp3.
--
PO. qui n'a JAMAIS téléchargé ni de mp3, ni de divX, ....si c'est vrai !
Pour m'écrire : po(point)taubaty(arobase)wanadoo(point)fr
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
un peu comme la chauve souris enragée...
j'ai peur des vilains trojan qui se peuvent se cacher dans les mp3. -- PO. qui n'a JAMAIS téléchargé ni de mp3, ni de divX, ....si c'est vrai !
Pour m'écrire : po(point)taubaty(arobase)wanadoo(point)fr
Nicolas.MICHEL
Fra wrote:
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Le raisonnement que tu fait là ne s'applique qu'à toi.
Comme j'administre un parc de mac, je raisonne en pensant que dans la foulitude des utilisateurs, il y aura forcément 20% au moins qui vont cliquer sur le lien. En fait je peux déjà te donner les noms. Ce sont les même qui ne font pas leurs backups et qui prennent un ton acusateur à chaque fois qu'ils m'appellent pour un dépanage. Alors imagines qu'ils perdent toutes leurs données à cause d'un trojan, tu comprendras pourquoi j'hésite fortement à réployer un antivirus, même si je trouve ces programes atrocement envahissants et globalement nuisibles.
-- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
Fra <fra@alussinan.org> wrote:
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je
lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me
causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Le raisonnement que tu fait là ne s'applique qu'à toi.
Comme j'administre un parc de mac, je raisonne en pensant que dans la
foulitude des utilisateurs, il y aura forcément 20% au moins qui vont
cliquer sur le lien. En fait je peux déjà te donner les noms. Ce sont
les même qui ne font pas leurs backups et qui prennent un ton acusateur
à chaque fois qu'ils m'appellent pour un dépanage.
Alors imagines qu'ils perdent toutes leurs données à cause d'un trojan,
tu comprendras pourquoi j'hésite fortement à réployer un antivirus, même
si je trouve ces programes atrocement envahissants et globalement
nuisibles.
--
S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes
iChat/AIM : michelnicolas
Encore faudrait il qu'il soit executer chez moi (pourquoi irais-je lancer ce mp3 -de quelques Ko- d'un de mes correspondants français me causant en anglais et avec qui je n'échange jamais de mp3 par mail) ;)
Le raisonnement que tu fait là ne s'applique qu'à toi.
Comme j'administre un parc de mac, je raisonne en pensant que dans la foulitude des utilisateurs, il y aura forcément 20% au moins qui vont cliquer sur le lien. En fait je peux déjà te donner les noms. Ce sont les même qui ne font pas leurs backups et qui prennent un ton acusateur à chaque fois qu'ils m'appellent pour un dépanage. Alors imagines qu'ils perdent toutes leurs données à cause d'un trojan, tu comprendras pourquoi j'hésite fortement à réployer un antivirus, même si je trouve ces programes atrocement envahissants et globalement nuisibles.
-- S'il n'y a pas de solutions, c'est qu'il n'y a pas de problèmes iChat/AIM : michelnicolas
