ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
In article <1gbz4a4.1mufxns1l25cmmN%, (Mac et Kate) wrote:
patpro ~ patrick proniewski wrote:
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
un MP3 ça fait quand même entre 2 et 4 Mo ça ferait lourd pour une PJ, le plupart du temps il ne doit même pas pouvoir passer.
n'importe quel compte mail qui se respecte accepte 5 Mo.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
patpro ~ patrick proniewski
In article <BC9C4DA9.16E72%, Jean Prudhomme wrote:
Si je place ce fichier litigieux dans mon Partage Web personnel activé et que ledit fichier est téléchargé par un Mac User, sera-t-il encore fonctionnel à l'arrivée (le fichier) ?
Idem si je le place sur mon iDisk à .Mac ?
faut essayer :) tu peux faire le teste avec n'importe quelle application Carbon renommée en truc.mp3 , si elle survit, alors le virus potentiel survivra très certainement.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article <BC9C4DA9.16E72%jean.prudhomme@skynet.be>,
Jean Prudhomme <jean.prudhomme@skynet.be> wrote:
Si je place ce fichier litigieux dans mon Partage Web personnel activé et
que ledit fichier est téléchargé par un Mac User, sera-t-il encore
fonctionnel à l'arrivée (le fichier) ?
Idem si je le place sur mon iDisk à .Mac ?
faut essayer :)
tu peux faire le teste avec n'importe quelle application Carbon renommée
en truc.mp3 , si elle survit, alors le virus potentiel survivra très
certainement.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
In article <BC9C4DA9.16E72%, Jean Prudhomme wrote:
Si je place ce fichier litigieux dans mon Partage Web personnel activé et que ledit fichier est téléchargé par un Mac User, sera-t-il encore fonctionnel à l'arrivée (le fichier) ?
Idem si je le place sur mon iDisk à .Mac ?
faut essayer :) tu peux faire le teste avec n'importe quelle application Carbon renommée en truc.mp3 , si elle survit, alors le virus potentiel survivra très certainement.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
fra
Olivier Goldberg wrote:
En résumé, un virus pour Mac circule sous la forme d'un fichier avec l'extension .mp3
Quelqu'un l'a déjà vu ce virus ? Il existe réellement ? ...
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur news://fr.comp.os.mac-os.x?
[j'ai l'impression]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept
... où c'est juste un "concept" ???
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security specialist, has just released updated virus definitions for Intego VirusBarrier to protect Mac users against the first Trojan horse that affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen), exploits a weakness in Mac OS X where applications can appear to be other types of files.
Ca n'a rien de spécifique à OS X.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3 (digital music) file. This code is in reality a hidden application that can run on any Macintosh computer running Mac OS X.
J'ai pas suivi le thread en question jusqu'au bout MAIS s'agit-il d'une appli 'maquillée' en mp3 ou d'un mp3 dont les ID3 tags seraient executable ? (ce qui m'étonne)
[...]
Due to the use of this technique, users can no longer safely double-click MP3 files in Mac OS X. This same technique could be used with JPEG and GIF files, though no such cases of infected graphic files have yet been seen.
C'est bizarre mais j'ai le sentiment que ce virus n'existe pas. Juste potentiellement et que Intego cherche à se faire une grosse pub en disant qu'il on découvert le premier virus OS X !...
-- Fra
Olivier Goldberg <listes@ogoldberg.net> wrote:
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Quelqu'un l'a déjà vu ce virus ? Il existe réellement ? ...
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
[j'ai l'impression]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
... où c'est juste un "concept" ???
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
Ca n'a rien de spécifique à OS X.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
J'ai pas suivi le thread en question jusqu'au bout MAIS s'agit-il d'une
appli 'maquillée' en mp3 ou d'un mp3 dont les ID3 tags seraient
executable ? (ce qui m'étonne)
[...]
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
C'est bizarre mais j'ai le sentiment que ce virus n'existe pas. Juste
potentiellement et que Intego cherche à se faire une grosse pub en
disant qu'il on découvert le premier virus OS X !...
En résumé, un virus pour Mac circule sous la forme d'un fichier avec l'extension .mp3
Quelqu'un l'a déjà vu ce virus ? Il existe réellement ? ...
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur news://fr.comp.os.mac-os.x?
[j'ai l'impression]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept
... où c'est juste un "concept" ???
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security specialist, has just released updated virus definitions for Intego VirusBarrier to protect Mac users against the first Trojan horse that affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen), exploits a weakness in Mac OS X where applications can appear to be other types of files.
Ca n'a rien de spécifique à OS X.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3 (digital music) file. This code is in reality a hidden application that can run on any Macintosh computer running Mac OS X.
J'ai pas suivi le thread en question jusqu'au bout MAIS s'agit-il d'une appli 'maquillée' en mp3 ou d'un mp3 dont les ID3 tags seraient executable ? (ce qui m'étonne)
[...]
Due to the use of this technique, users can no longer safely double-click MP3 files in Mac OS X. This same technique could be used with JPEG and GIF files, though no such cases of infected graphic files have yet been seen.
C'est bizarre mais j'ai le sentiment que ce virus n'existe pas. Juste potentiellement et que Intego cherche à se faire une grosse pub en disant qu'il on découvert le premier virus OS X !...
-- Fra
Saïd
Woa :
Y a un truc qui m'inquiète, j'ai un fichier qui s'appelle "Guide de l'utilisateur iPod"
L'icone marque que c'est un doc de type PDF, mais le nom et l'extension s'appelle iPod Users Guide.app ???
Ou l'as-tu trouvé.
Ca ca veut dire quoi ? Quand je clique c'est Apercu qui est utilisé , mais quand je fais "ouvrir fichier d'apercu, je ne peux pas le selectionner ??
C'est quoi ce bin's ?
Je ne sais pas, mais ca m'a l'air louche. En tout cas c'est comme ca qu'opere le virus decrit dans ce fil.
-- Saïd.
Woa :
Y a un truc qui m'inquiète,
j'ai un fichier qui s'appelle
"Guide de l'utilisateur iPod"
L'icone marque que c'est un doc de type PDF, mais le nom et l'extension
s'appelle iPod Users Guide.app ???
Ou l'as-tu trouvé.
Ca ca veut dire quoi ?
Quand je clique c'est Apercu qui est utilisé , mais quand je fais
"ouvrir fichier d'apercu, je ne peux pas le selectionner ??
C'est quoi ce bin's ?
Je ne sais pas, mais ca m'a l'air louche. En tout cas c'est comme ca
qu'opere le virus decrit dans ce fil.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas permettre d'icône sur autre chose qu'une application.
Un PC quoi! Beuark!... -- Fra
Marc Robert
dans l'article 1gbz8as.69x61i1c6ocp4N%, Fra à a écrit le 9/04/04 13:09 :
[...]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept
... où c'est juste un "concept" ???
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc contenir la protection contre ce virus MP3concept, s'il s'agit de son nom. J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit, et VirusBarrier détecte bien les (rares) virus Macros susceptibles de me contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce que je veux bien croire, comment puis-je le voir ?
dans l'article 1gbz8as.69x61i1c6ocp4N%fra@alussinan.org, Fra à
fra@alussinan.org a écrit le 9/04/04 13:09 :
[...]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
... où c'est juste un "concept" ???
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je
suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que
j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc
contenir la protection contre ce virus MP3concept, s'il s'agit de son nom.
J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout
s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne
propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour
trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit, et
VirusBarrier détecte bien les (rares) virus Macros susceptibles de me
contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce
que je veux bien croire, comment puis-je le voir ?
dans l'article 1gbz8as.69x61i1c6ocp4N%, Fra à a écrit le 9/04/04 13:09 :
[...]
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse: MP3Concept
... où c'est juste un "concept" ???
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc contenir la protection contre ce virus MP3concept, s'il s'agit de son nom. J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit, et VirusBarrier détecte bien les (rares) virus Macros susceptibles de me contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce que je veux bien croire, comment puis-je le voir ?
fra
Pierre-Alain Dorange wrote:
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit malin ayant lus cette enfilade a cru bon de créer la chose mais en quelques jours que ce soit crées et que INTEGO le repère montre soit leur grande réactivité, soit...
soit que ce virus n'existe pas et qu'Intego se fait un gros coup de pub à l'esbrouffe. On notera qu'ils ne sont pas en mesure de dire ce qu'il fait exactement (mais seulement potentiellement). De plus en ébruitant le plus possible Intego peut expérer que qqun développera le virus ce qui devrait booster leur vente pour mac (parceque franchement pour le moment un antivirus pour mac ça me fait rigoler). -- Fra
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit
malin ayant lus cette enfilade a cru bon de créer la chose mais en
quelques jours que ce soit crées et que INTEGO le repère montre soit
leur grande réactivité, soit...
soit que ce virus n'existe pas et qu'Intego se fait un gros coup de pub
à l'esbrouffe.
On notera qu'ils ne sont pas en mesure de dire ce qu'il fait exactement
(mais seulement potentiellement).
De plus en ébruitant le plus possible Intego peut expérer que qqun
développera le virus ce qui devrait booster leur vente pour mac
(parceque franchement pour le moment un antivirus pour mac ça me fait
rigoler).
--
Fra
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit malin ayant lus cette enfilade a cru bon de créer la chose mais en quelques jours que ce soit crées et que INTEGO le repère montre soit leur grande réactivité, soit...
soit que ce virus n'existe pas et qu'Intego se fait un gros coup de pub à l'esbrouffe. On notera qu'ils ne sont pas en mesure de dire ce qu'il fait exactement (mais seulement potentiellement). De plus en ébruitant le plus possible Intego peut expérer que qqun développera le virus ce qui devrait booster leur vente pour mac (parceque franchement pour le moment un antivirus pour mac ça me fait rigoler). -- Fra
fra
Marc Robert wrote:
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc contenir la protection contre ce virus MP3concept, s'il s'agit de son nom. J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit [...]
mais il est permis d'avoir des doutes sur l'honnêteté de cette boite. Pour moi c'est un gros coup de pub (mais je peux me tromper). -- Fra
Marc Robert <mrobert@alussinan.org> wrote:
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je
suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que
j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc
contenir la protection contre ce virus MP3concept, s'il s'agit de son nom.
J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout
s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne
propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour
trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit [...]
mais il est permis d'avoir des doutes sur l'honnêteté de cette boite.
Pour moi c'est un gros coup de pub (mais je peux me tromper).
--
Fra
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc contenir la protection contre ce virus MP3concept, s'il s'agit de son nom. J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit [...]
mais il est permis d'avoir des doutes sur l'honnêteté de cette boite. Pour moi c'est un gros coup de pub (mais je peux me tromper). -- Fra
jalon
Patrick Stadelmann wrote:
In article , (Julien Jalon) wrote:
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui indique une application. C'est l'icône qui est trompeur, mais tout le monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est pas fiable pour déterminer le type d'un fichier.
C'est ce que je dis : le type macos (APPL) du fichier est en cause et absolument pas l'extension. Cela signifie que ce virus est complètement innofensif sur les réseaux P2P puisque ces méta-données ne sont pas transmises.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <h8m45c.rkp.ln@joshua.julien-jalon.org>,
jalon@julien-jalon.org (Julien Jalon) wrote:
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui
indique une application. C'est l'icône qui est trompeur, mais tout le
monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est
pas fiable pour déterminer le type d'un fichier.
C'est ce que je dis : le type macos (APPL) du fichier est en cause et
absolument pas l'extension.
Cela signifie que ce virus est complètement innofensif sur les réseaux
P2P puisque ces méta-données ne sont pas transmises.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui indique une application. C'est l'icône qui est trompeur, mais tout le monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est pas fiable pour déterminer le type d'un fichier.
C'est ce que je dis : le type macos (APPL) du fichier est en cause et absolument pas l'extension. Cela signifie que ce virus est complètement innofensif sur les réseaux P2P puisque ces méta-données ne sont pas transmises.
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
jalon
Patrick Stadelmann wrote:
In article , (Julien Jalon) wrote:
L'extension est toujours visible dans une appli de mail
Sauf que le .app n'est pas du tout nécessaire. La "proof of concept" ci-dessous s'appelle bien "virus.mp3"
Je parlais du système de typage par extension, cachée ou non. Là, on est face au problème classique de la meta-donnée HFS "Type".
-- Julien Jalon <http://www.julien-jalon.org/> Ce que contient ce message n'exprime que mon opinion et non celle de mon employeur.
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <f1l45c.ofp.ln@joshua.julien-jalon.org>,
jalon@julien-jalon.org (Julien Jalon) wrote:
L'extension est toujours visible dans une appli de mail
Sauf que le .app n'est pas du tout nécessaire. La "proof of concept"
ci-dessous s'appelle bien "virus.mp3"
Je parlais du système de typage par extension, cachée ou non. Là, on est
face au problème classique de la meta-donnée HFS "Type".
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
