ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
INTEGO SECURITY ALERT
Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.
This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
1 - Entête valide pour un fichier MP3 2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable 3 - Stream MP3
Ce qui fait que pour iTunes le fichier est un MP3 valide. Dans la partie ressource, il est simplement indiqué à Mac OS X que l'exécution de l'application doit commmencer à l'offset 2) et donc le fichier est vu par le Finder et Mac OS X comme une application valide.
Il y a une chose que je ne comprends pas. Je croyais que sous MacOS X, il fallait avoir un flag x pour avoir le droit de s'exécuter. Est-ce que les applications P2P, Mail, etc. sont assez stupides pour ajouter ledit flag aux fichiers téléchargés ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
La structure du fichier est du style :
partie donnée :
1 - Entête valide pour un fichier MP3
2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable
3 - Stream MP3
Ce qui fait que pour iTunes le fichier est un MP3 valide. Dans la partie
ressource, il est simplement indiqué à Mac OS X que l'exécution de
l'application doit commmencer à l'offset 2) et donc le fichier est vu
par le Finder et Mac OS X comme une application valide.
Il y a une chose que je ne comprends pas. Je croyais que sous MacOS X,
il fallait avoir un flag x pour avoir le droit de s'exécuter.
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour
ajouter ledit flag aux fichiers téléchargés ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
1 - Entête valide pour un fichier MP3 2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable 3 - Stream MP3
Ce qui fait que pour iTunes le fichier est un MP3 valide. Dans la partie ressource, il est simplement indiqué à Mac OS X que l'exécution de l'application doit commmencer à l'offset 2) et donc le fichier est vu par le Finder et Mac OS X comme une application valide.
Il y a une chose que je ne comprends pas. Je croyais que sous MacOS X, il fallait avoir un flag x pour avoir le droit de s'exécuter. Est-ce que les applications P2P, Mail, etc. sont assez stupides pour ajouter ledit flag aux fichiers téléchargés ?
-- R: Parce que ça renverse bêtement l'ordre naturel de lecture! Q: Mais pourquoi citer en fin d'article est-il si effroyable? R: Citer en fin d'article Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
Le 9/04/04 19:06, dans <1gbzoun.ii4nnle9nee8N%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le problème.
Non. Mauvaise analyse.
Le finder n'aurait pas considéré comme application un fichier n'ayant pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Le Finder considère que l'application est une application et la lance comme une application. C'est seulement après le lancement que cette application parle à iTunes, mais iTunes n'a rien à voir là dedans, cela aurait pu être une autre application ou aucune application ou plusieurs applications.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas exister.
Tu n'as pas compris comment marche le cheval de Troie.
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur autre chose que les types HFS.
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Essayes encore.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
Le 9/04/04 19:06, dans <1gbzoun.ii4nnle9nee8N%lists@juliensalort.org>,
« Julien Salort » <lists@juliensalort.org> a écrit :
Éric Lévénez <news@levenez.com> wrote:
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le
problème.
Non. Mauvaise analyse.
Le finder n'aurait pas considéré comme application un fichier n'ayant
pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un
fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Le Finder considère que l'application est une application et la lance comme
une application. C'est seulement après le lancement que cette application
parle à iTunes, mais iTunes n'a rien à voir là dedans, cela aurait pu être
une autre application ou aucune application ou plusieurs applications.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas
exister.
Tu n'as pas compris comment marche le cheval de Troie.
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur
autre chose que les types HFS.
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le
type HFS pour lancer ce cheval de Troie.
Essayes encore.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Le 9/04/04 19:06, dans <1gbzoun.ii4nnle9nee8N%, « Julien Salort » a écrit :
Éric Lévénez wrote:
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le problème.
Non. Mauvaise analyse.
Le finder n'aurait pas considéré comme application un fichier n'ayant pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Le Finder considère que l'application est une application et la lance comme une application. C'est seulement après le lancement que cette application parle à iTunes, mais iTunes n'a rien à voir là dedans, cela aurait pu être une autre application ou aucune application ou plusieurs applications.
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas exister.
Tu n'as pas compris comment marche le cheval de Troie.
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur autre chose que les types HFS.
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le type HFS pour lancer ce cheval de Troie.
Essayes encore.
-- Éric Lévénez -- <http://www.levenez.com/> Unix is not only an OS, it's a way of life.
jaky.pelmont
Saïd wrote:
Tres exactement ce qu'il ne faut pas faire avec une piece jointe dans un mail non sollicite ou qui n'explique pas precisemment ce qu'est la piece jointe tout en provenant de quelqu'un que l'on connait.
Je viens d'avoir une grosse attaque (une quarantaine de messages) détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune, mais j'ai failli me faire avoir parce que l'un de ces messages provenait de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ? Je suis sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ? -- J. Pelmont http://perso.wanadoo.fr/pelmont/index.html for mail remove "aky"
Saïd <saidNo@spaMquatramaran.ens.france> wrote:
Tres exactement ce qu'il ne faut pas faire avec une piece jointe dans un
mail non sollicite ou qui n'explique pas precisemment ce qu'est la piece
jointe tout en provenant de quelqu'un que l'on connait.
Je viens d'avoir une grosse attaque (une quarantaine de messages)
détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce
jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune,
mais j'ai failli me faire avoir parce que l'un de ces messages provenait
de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ? Je suis
sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ?
--
J. Pelmont
http://perso.wanadoo.fr/pelmont/index.html
for mail remove "aky"
Tres exactement ce qu'il ne faut pas faire avec une piece jointe dans un mail non sollicite ou qui n'explique pas precisemment ce qu'est la piece jointe tout en provenant de quelqu'un que l'on connait.
Je viens d'avoir une grosse attaque (une quarantaine de messages) détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune, mais j'ai failli me faire avoir parce que l'un de ces messages provenait de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ? Je suis sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ? -- J. Pelmont http://perso.wanadoo.fr/pelmont/index.html for mail remove "aky"
benoistf
JRP wrote:
Je viens d'avoir une grosse attaque (une quarantaine de messages) détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune, mais j'ai failli me faire avoir parce que l'un de ces messages provenait de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ? Je suis sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ? Non, rien à voir. Ca c'est du virus pour pc.
-- Benoist
JRP <jaky.pelmont@wanadoo.fr> wrote:
Je viens d'avoir une grosse attaque (une quarantaine de messages)
détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce
jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune,
mais j'ai failli me faire avoir parce que l'un de ces messages provenait
de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ? Je suis
sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ?
Non, rien à voir. Ca c'est du virus pour pc.
Je viens d'avoir une grosse attaque (une quarantaine de messages) détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune, mais j'ai failli me faire avoir parce que l'un de ces messages provenait de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ? Je suis sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ? Non, rien à voir. Ca c'est du virus pour pc.
-- Benoist
Patrick Stadelmann
In article , patpro ~ patrick proniewski wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au mixer tu crois ?
:-)
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag 'x' n'est nécessaire que pour le format Mach-O (format d'exécutable natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent pas d'influence sur les appli CFM.
Patrick -- Patrick Stadelmann
In article <patpro-9FF534.18562509042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au
mixer tu crois ?
:-)
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag
'x' n'est nécessaire que pour le format Mach-O (format d'exécutable
natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même
s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent
pas d'influence sur les appli CFM.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
un vrai code méchant pourrait exploiter un local-root (via buffer overflow, escalade de privilège, que sais-je encore) et lancer un rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au mixer tu crois ?
:-)
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une appli carbon, ce qui rendrait la chose encore plus expéditive, compte de test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag 'x' n'est nécessaire que pour le format Mach-O (format d'exécutable natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent pas d'influence sur les appli CFM.
Patrick -- Patrick Stadelmann
dmanoeuvre
Éric Lévénez wrote:
Le seul problème de cette application est son icône qui trompe le Macounet qui va cliquer dessus sans réfléchir.
Il ne faut pas grand chose pour "tromper" l'utilisateur moyen. Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou .exe envoyé par un inconnu.
-- D.Manoeuvre
Éric Lévénez <news@levenez.com> wrote:
Le seul problème de cette application est son icône qui trompe le
Macounet qui va cliquer dessus sans réfléchir.
Il ne faut pas grand chose pour "tromper" l'utilisateur moyen.
Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou
.exe envoyé par un inconnu.
Le seul problème de cette application est son icône qui trompe le Macounet qui va cliquer dessus sans réfléchir.
Il ne faut pas grand chose pour "tromper" l'utilisateur moyen. Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou .exe envoyé par un inconnu.
-- D.Manoeuvre
dmanoeuvre
JP wrote:
Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces prédécesseurs. Les Mac ne sont pas infestés de virus pour autant.
-- D.Manoeuvre
JP <nobody@replay.com> wrote:
Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre
les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces
prédécesseurs.
Les Mac ne sont pas infestés de virus pour autant.
Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y remédier, car ce virus ne sera certainement pas le dernier.
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces prédécesseurs. Les Mac ne sont pas infestés de virus pour autant.
-- D.Manoeuvre
phpinfo
JRP wrote:
Ce virus s'appelle W32.NetSky. At-il quelque chose à voir avec le virus dont vous discutez ?
Absolument aucun rapport... W32.XXXX indique un virus pour plateforme Win32 soit Windows. Tu ne crains rien de ce type virus.
-- Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st> Clarus, the DogCow <www.clarus.mac-fan.com>
JRP <jaky.pelmont@wanadoo.fr> wrote:
Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ?
Absolument aucun rapport... W32.XXXX indique un virus pour plateforme
Win32 soit Windows.
Tu ne crains rien de ce type virus.
--
Pierre-Alain Dorange
Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
