ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Le 9/04/04 18:30, dans <1gbzndv.1rt5quxbq9w04N%, « Fra » a écrit :
Éric Lévénez wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée, on peut le télécharger un peu partout maintenant. Mais c'est une application "normale" vue comme telle par le Finder et donc par Mac OS X. Elle utilise les ressources HFS+ ainsi que les meta-données HFS+. Cette application ne peut circuler simplement sur Internet. Il lui faut des applications comme Mail entre 2 Macounets ou un format d'archivage compatible HFS+. Le seul problème de cette application est son icône qui trompe le Macounet qui va cliquer dessus sans réfléchir.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 18:30, dans <1gbzndv.1rt5quxbq9w04N%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée,
on peut le télécharger un peu partout maintenant. Mais c'est une application
"normale" vue comme telle par le Finder et donc par Mac OS X. Elle utilise
les ressources HFS+ ainsi que les meta-données HFS+. Cette application ne
peut circuler simplement sur Internet. Il lui faut des applications comme
Mail entre 2 Macounets ou un format d'archivage compatible HFS+. Le seul
problème de cette application est son icône qui trompe le Macounet qui va
cliquer dessus sans réfléchir.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 18:30, dans <1gbzndv.1rt5quxbq9w04N%, « Fra » a écrit :
Éric Lévénez wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée, on peut le télécharger un peu partout maintenant. Mais c'est une application "normale" vue comme telle par le Finder et donc par Mac OS X. Elle utilise les ressources HFS+ ainsi que les meta-données HFS+. Cette application ne peut circuler simplement sur Internet. Il lui faut des applications comme Mail entre 2 Macounets ou un format d'archivage compatible HFS+. Le seul problème de cette application est son icône qui trompe le Macounet qui va cliquer dessus sans réfléchir.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
fra
Olivier Goldberg wrote:
En résumé, un virus pour Mac circule sous la forme d'un fichier avec l'extension .mp3 Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Tiens la rumeur se répands! <http://www.versiontracker.com/dyn/moreinfo/macosx/23054> -- Fra
Olivier Goldberg <listes@ogoldberg.net> wrote:
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Tiens la rumeur se répands!
<http://www.versiontracker.com/dyn/moreinfo/macosx/23054>
--
Fra
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée, on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux. -- Fra
Éric Lévénez
Le 9/04/04 18:37, dans <1gbznmg.ilocnxsezpxlN%, « Fra » a écrit :
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 18:37, dans <1gbznmg.ilocnxsezpxlN%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 18:37, dans <1gbznmg.ilocnxsezpxlN%, « Fra » a écrit :
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une application, tu as un message du type "Voulez-vos vraiment lancer cette application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
h.sainct
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait facilement faire un script de dossier (pour votre dossier "downloads", votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant .mp3 est une application (en le déplaçant vers un dossier "suspects" par ex.)
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons, échangées on aurait vite fait le tour...
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie" avec moi? ;-D
Hervé
-- Frédérique & Hervé Sainct, Frédérique's initial is missing in front of the above address l'initiale de Frédérique manque devant l'adresse email ci-dessus
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait
facilement faire un script de dossier (pour votre dossier "downloads",
votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant
.mp3 est une application (en le déplaçant vers un dossier "suspects" par
ex.)
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons,
échangées on aurait vite fait le tour...
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie"
avec moi? ;-D
Hervé
--
Frédérique & Hervé Sainct, h.sainct@laposte.net
Frédérique's initial is missing in front of the above address
l'initiale de Frédérique manque devant l'adresse email ci-dessus
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait facilement faire un script de dossier (pour votre dossier "downloads", votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant .mp3 est une application (en le déplaçant vers un dossier "suspects" par ex.)
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons, échangées on aurait vite fait le tour...
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie" avec moi? ;-D
Hervé
-- Frédérique & Hervé Sainct, Frédérique's initial is missing in front of the above address l'initiale de Frédérique manque devant l'adresse email ci-dessus
Éric Lévénez
Le 9/04/04 18:46, dans <1gbzo3u.1yfq4lt16wyo9N%, « Fra » a écrit :
Éric Lévénez wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée, on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux.
Ce n'est pas un concept. Le programme existe. Il ne fait rien de dangereux en effet, mais demain tu verras tous les boutonneux du monde Mac se réveiller et s'amuser avec les types/créateurs/icônes d'HFS+...
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 18:46, dans <1gbzo3u.1yfq4lt16wyo9N%fra@alussinan.org>, « Fra »
<fra@alussinan.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée,
on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux.
Ce n'est pas un concept. Le programme existe. Il ne fait rien de dangereux
en effet, mais demain tu verras tous les boutonneux du monde Mac se
réveiller et s'amuser avec les types/créateurs/icônes d'HFS+...
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 18:46, dans <1gbzo3u.1yfq4lt16wyo9N%, « Fra » a écrit :
Éric Lévénez wrote:
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée, on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux.
Ce n'est pas un concept. Le programme existe. Il ne fait rien de dangereux en effet, mais demain tu verras tous les boutonneux du monde Mac se réveiller et s'amuser avec les types/créateurs/icônes d'HFS+...
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Patrick Stadelmann
In article <1gbznmg.ilocnxsezpxlN%, (Fra) wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
C'est à l'utilisateur de vérifier que le fichier est bien un document et pas une application. C'est fiable et très vite fait (j'ai déjà cité quelques méthodes pour le faire).
Patrick -- Patrick Stadelmann
In article <1gbznmg.ilocnxsezpxlN%fra@alussinan.org>,
fra@alussinan.org (Fra) wrote:
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
C'est à l'utilisateur de vérifier que le fichier est bien un document et
pas une application. C'est fiable et très vite fait (j'ai déjà cité
quelques méthodes pour le faire).
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
Il suffirait que le système prévienne (avant lancement) qu'on a affaire à une appli contrairement à ce qu'indique l'extension. Et voilà.
C'est à l'utilisateur de vérifier que le fichier est bien un document et pas une application. C'est fiable et très vite fait (j'ai déjà cité quelques méthodes pour le faire).
Patrick -- Patrick Stadelmann
patpro ~ patrick proniewski
In article , Patrick Stadelmann wrote:
In article , patpro ~ patrick proniewski wrote:
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)
Ma machine ? Non... Mon compte de test à la rigeur, oui.
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article
<Patrick.Stadelmann-A7D0FF.18081809042004@news.fu-berlin.de>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <patpro-709827.17582909042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui
est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)
Ma machine ? Non... Mon compte de test à la rigeur, oui.
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)
Ma machine ? Non... Mon compte de test à la rigeur, oui.
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Éric Lévénez
Le 9/04/04 18:52, dans <1gbzo7n.1yfnzdt1m9q08jN%, « Frédérique & Hervé Sainct » a écrit :
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait facilement faire un script de dossier (pour votre dossier "downloads", votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant .mp3 est une application (en le déplaçant vers un dossier "suspects" par ex.)
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+. Le téléchargement doit donc utiliser une encapsulation dans un SIT, DMG... Ou alors doit être réalisé par un outil connaissant les particularités HFS+ (comme Mail par exemple).
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons, échangées on aurait vite fait le tour...
Non car l'extension ne sert à rien, tout comme l'icône. Un fichier sans extension marcherait aussi vu que c'est le type APPL codé dans les meta-datas HFS+ qui est utilisé.
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie" avec moi? ;-D
Qui relance la pétition pour supprimer les types/créateurs d'HFS+ ?
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 18:52, dans <1gbzo7n.1yfnzdt1m9q08jN%h.sainct@laposte.net>,
« Frédérique & Hervé Sainct » <h.sainct@laposte.net> a écrit :
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait
facilement faire un script de dossier (pour votre dossier "downloads",
votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant
.mp3 est une application (en le déplaçant vers un dossier "suspects" par
ex.)
Le nom du fichier peut être quelconque, comme par exemple "toto.gif",
"truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement
car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Le téléchargement doit donc utiliser une encapsulation dans un SIT, DMG...
Ou alors doit être réalisé par un outil connaissant les particularités HFS+
(comme Mail par exemple).
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons,
échangées on aurait vite fait le tour...
Non car l'extension ne sert à rien, tout comme l'icône. Un fichier sans
extension marcherait aussi vu que c'est le type APPL codé dans les
meta-datas HFS+ qui est utilisé.
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie"
avec moi? ;-D
Qui relance la pétition pour supprimer les types/créateurs d'HFS+ ?
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 18:52, dans <1gbzo7n.1yfnzdt1m9q08jN%, « Frédérique & Hervé Sainct » a écrit :
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait facilement faire un script de dossier (pour votre dossier "downloads", votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant .mp3 est une application (en le déplaçant vers un dossier "suspects" par ex.)
Le nom du fichier peut être quelconque, comme par exemple "toto.gif", "truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+. Le téléchargement doit donc utiliser une encapsulation dans un SIT, DMG... Ou alors doit être réalisé par un outil connaissant les particularités HFS+ (comme Mail par exemple).
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons, échangées on aurait vite fait le tour...
Non car l'extension ne sert à rien, tout comme l'icône. Un fichier sans extension marcherait aussi vu que c'est le type APPL codé dans les meta-datas HFS+ qui est utilisé.
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie" avec moi? ;-D
Qui relance la pétition pour supprimer les types/créateurs d'HFS+ ?
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
lists
Éric Lévénez wrote:
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le problème.
Le finder n'aurait pas considéré comme application un fichier n'ayant pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas exister. Si le problème existe c'est parce qu'iTunes et le Finder se basent sur autre chose que les types HFS.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez <news@levenez.com> wrote:
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le
problème.
Le finder n'aurait pas considéré comme application un fichier n'ayant
pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un
fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas
exister.
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur
autre chose que les types HFS.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le problème.
Le finder n'aurait pas considéré comme application un fichier n'ayant pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas exister. Si le problème existe c'est parce qu'iTunes et le Finder se basent sur autre chose que les types HFS.
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
