tu peux télécharger la PoC (fin de la page) pour tester par toi même. Perso, j'ai pas testé.
La PoC c'est une application. Si c'était un fichier, son code ne serait pas exécutable.
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3 /Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
Patrick Stadelmann
In article , patpro ~ patrick proniewski wrote:
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la personne disait qu'il est possible de faire un mp3 valide, avec du code executable dans un ID3.
Ca en effet on peut.
Le code n'etant appelé que si on double clic sur le fichier,
Pour cela, il faut que soit le fichier en question soit en fait une application, soit qu'il s'ouvre dans une appli qui elle va exécuter le code que le document contient. On ne peut
iTunes quant a lui lisant le mp3 comme si de rien était.
Ca c'est possible en effet (et donc le fait qu'un fichier soit reconnu par iTunes comme un MP3 n'est pas une garantie que ce n'est pas en fait une application).
Je cite :
If done properly (one way that leaps to mind is to plug the viral code into the ID3 tag intended to contain cover art, and write the .mp3 file with a JMP or BRA instruction starting at the first byte of the file, targeted to jump into the executable portion hiding in the ID3 tag) it would even be playable from within an application (like if it were played by being put on a playlist in an application, rather than double-clicked), though it might seem to have a small glitch at the beginning due to the "corrupted data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
Oui, mais c'est une application. Quand le type écrit qu'il faut mettre un JMP ou un BRA au début du fichier, il parle d'une instruction. Et pour que Mac OS X exécute cette instruction quand tu ouvre le fichier, celui-ci doit être une application. Sinon, le fichier n'est pas exécuté, mais passé à l'application associée (iTunes par exemple).
Patrick -- Patrick Stadelmann
In article <patpro-51CD55.19442306042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la
personne disait qu'il est possible de faire un mp3 valide, avec du code
executable dans un ID3.
Ca en effet on peut.
Le code n'etant appelé que si on double clic sur
le fichier,
Pour cela, il faut que soit le fichier en question soit en fait une
application, soit qu'il s'ouvre dans une appli qui elle va exécuter le
code que le document contient. On ne peut
iTunes quant a lui lisant le mp3 comme si de rien était.
Ca c'est possible en effet (et donc le fait qu'un fichier soit reconnu
par iTunes comme un MP3 n'est pas une garantie que ce n'est pas en fait
une application).
Je cite :
If done properly (one way
that leaps to mind is to plug the viral code into the ID3 tag intended
to contain cover art, and write the .mp3 file with a JMP or BRA
instruction starting at the first byte of the file, targeted to jump
into the executable portion hiding in the ID3 tag) it would even be
playable from within an application (like if it were played by being put
on a playlist in an application, rather than double-clicked), though it
might seem to have a small glitch at the beginning due to the "corrupted
data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
Oui, mais c'est une application. Quand le type écrit qu'il faut mettre
un JMP ou un BRA au début du fichier, il parle d'une instruction. Et
pour que Mac OS X exécute cette instruction quand tu ouvre le fichier,
celui-ci doit être une application. Sinon, le fichier n'est pas exécuté,
mais passé à l'application associée (iTunes par exemple).
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
j'ai fait que survoler (meme pas honte) mais il m'a semblé que la personne disait qu'il est possible de faire un mp3 valide, avec du code executable dans un ID3.
Ca en effet on peut.
Le code n'etant appelé que si on double clic sur le fichier,
Pour cela, il faut que soit le fichier en question soit en fait une application, soit qu'il s'ouvre dans une appli qui elle va exécuter le code que le document contient. On ne peut
iTunes quant a lui lisant le mp3 comme si de rien était.
Ca c'est possible en effet (et donc le fait qu'un fichier soit reconnu par iTunes comme un MP3 n'est pas une garantie que ce n'est pas en fait une application).
Je cite :
If done properly (one way that leaps to mind is to plug the viral code into the ID3 tag intended to contain cover art, and write the .mp3 file with a JMP or BRA instruction starting at the first byte of the file, targeted to jump into the executable portion hiding in the ID3 tag) it would even be playable from within an application (like if it were played by being put on a playlist in an application, rather than double-clicked), though it might seem to have a small glitch at the beginning due to the "corrupted data block" of the JMP instruction.
Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.
Oui, mais c'est une application. Quand le type écrit qu'il faut mettre un JMP ou un BRA au début du fichier, il parle d'une instruction. Et pour que Mac OS X exécute cette instruction quand tu ouvre le fichier, celui-ci doit être une application. Sinon, le fichier n'est pas exécuté, mais passé à l'application associée (iTunes par exemple).
Patrick -- Patrick Stadelmann
Patrick Stadelmann
In article , patpro ~ patrick proniewski wrote:
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3 /Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables pour différencier un fichier d'une application. Par contre, tromper le Finder c'est une autre paire de manches.
Patrick -- Patrick Stadelmann
In article <patpro-9A450F.19503706042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3
/Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables
pour différencier un fichier d'une application. Par contre, tromper le
Finder c'est une autre paire de manches.
Patrick
--
Patrick Stadelmann <Patrick.Stadelmann@unine.ch>
$ file ~/Desktop/virus.mp3 /Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables pour différencier un fichier d'une application. Par contre, tromper le Finder c'est une autre paire de manches.
Patrick -- Patrick Stadelmann
patpro ~ patrick proniewski
In article , Patrick Stadelmann wrote:
In article , patpro ~ patrick proniewski wrote:
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3 /Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables pour différencier un fichier d'une application. Par contre, tromper le Finder c'est une autre paire de manches.
bah, le finder il met une belle icone iTunes, donc partant de là... :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
In article
<Patrick.Stadelmann-C1874F.19583006042004@news.fu-berlin.de>,
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
In article <patpro-9A450F.19503706042004@news.fu-berlin.de>,
patpro ~ patrick proniewski <patpro@boleskine.patpro.net> wrote:
hmm, forcément. Mais ça trompe son monde :
$ file ~/Desktop/virus.mp3
/Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables
pour différencier un fichier d'une application. Par contre, tromper le
Finder c'est une autre paire de manches.
bah, le finder il met une belle icone iTunes, donc partant de là... :)
patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
$ file ~/Desktop/virus.mp3 /Users/patpro/Desktop/virus.mp3: MP3 file with ID3 version 2.2.0 tag
On peut rajouter la command "file" à la liste des méthodes pas fiables pour différencier un fichier d'une application. Par contre, tromper le Finder c'est une autre paire de manches.
bah, le finder il met une belle icone iTunes, donc partant de là... :)
patpro
-- je cherche un poste d'admin UNIX/Mac http://patpro.net/cv.php
nobody
Patrick Stadelmann wrote:
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier a un icône de MP3 que c'est une MP3.
Oui mais rassure moi : sur l'extension on ne peut pas tricher, non ? Dans le monde PC en tout cas un .mp3 n'activera jamais un virus : seul un .exe peut le faire (ou un .scr, ou un .vbs, enfin tout ce qui est script ou code exécutable).
-- JP
Patrick Stadelmann <Patrick.Stadelmann@unine.ch> wrote:
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier
a un icône de MP3 que c'est une MP3.
Oui mais rassure moi : sur l'extension on ne peut pas tricher, non ?
Dans le monde PC en tout cas un .mp3 n'activera jamais un virus : seul
un .exe peut le faire (ou un .scr, ou un .vbs, enfin tout ce qui est
script ou code exécutable).
C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier a un icône de MP3 que c'est une MP3.
Oui mais rassure moi : sur l'extension on ne peut pas tricher, non ? Dans le monde PC en tout cas un .mp3 n'activera jamais un virus : seul un .exe peut le faire (ou un .scr, ou un .vbs, enfin tout ce qui est script ou code exécutable).
-- JP
listes
JP wrote:
Oui mais rassure moi : sur l'extension on ne peut pas tricher, non ?
Si, si les champs type et creator existent (applis carbon). Enfin, je crois...
D'ailleurs, certaine applis n'ont pas l'estension .app!
-- Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS *** Pour le courrier personnel, remplacer dans le From: listes par olivier AIM/iChat: Nept47
JP <nobody@replay.com> wrote:
Oui mais rassure moi : sur l'extension on ne peut pas tricher, non ?
Si, si les champs type et creator existent (applis carbon). Enfin, je
crois...
D'ailleurs, certaine applis n'ont pas l'estension .app!
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
bah, le finder il met une belle icone iTunes, donc partant de là... :)
Je parle bien évidemment du champ "Kind" :-)
Patrick -- Patrick Stadelmann
fra
ric zito wrote:
Un programmeur vient de démontrer qu'il est possible d'infecter un Mac avec un virus se faisant passer pour (ou incrusté dans) un simple fichier mp3 :
http://tinyurl.com/22kfa
Je ne sais pas si ça a déjà été fait, mais la possibilté est là...
Ca n'a rien de spécifique à un mp3. Mais au moins il ne s'executera pas tout seul à la lecture d'un mail. De plus avec OS X il n'ira pas plus loin que la session de l'utilisateur et n'affectera pas le système ou les applis ; dès lors il lui sera assez difficile de se propager. -- Fra
ric zito <ADDRESS@IN.SIG> wrote:
Un programmeur vient de démontrer qu'il est possible d'infecter un Mac
avec un virus se faisant passer pour (ou incrusté dans) un simple
fichier mp3 :
http://tinyurl.com/22kfa
Je ne sais pas si ça a déjà été fait, mais la possibilté est là...
Ca n'a rien de spécifique à un mp3. Mais au moins il ne s'executera pas
tout seul à la lecture d'un mail. De plus avec OS X il n'ira pas plus
loin que la session de l'utilisateur et n'affectera pas le système ou
les applis ; dès lors il lui sera assez difficile de se propager.
--
Fra
Un programmeur vient de démontrer qu'il est possible d'infecter un Mac avec un virus se faisant passer pour (ou incrusté dans) un simple fichier mp3 :
http://tinyurl.com/22kfa
Je ne sais pas si ça a déjà été fait, mais la possibilté est là...
Ca n'a rien de spécifique à un mp3. Mais au moins il ne s'executera pas tout seul à la lecture d'un mail. De plus avec OS X il n'ira pas plus loin que la session de l'utilisateur et n'affectera pas le système ou les applis ; dès lors il lui sera assez difficile de se propager. -- Fra
fra
Pierre-Alain Dorange wrote:
Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute dans un tag ID3... C'est des données j'ai quand même un peu de mal a avaler le concept, surtout comme il est décrit.
Moi non plus je ne suis pas convaincu. C'est surtout qu'on peut renommer une appli (virus) en .mp3 et qu'elle se lancera quand même mais bon et après ?... Au pire elle efface les élements de l'utilisateur en cours et c'est tout mais n'infestera rien (pas vraiment un virus quoi). -- Fra
Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute
dans un tag ID3... C'est des données j'ai quand même un peu de mal a
avaler le concept, surtout comme il est décrit.
Moi non plus je ne suis pas convaincu. C'est surtout qu'on peut renommer
une appli (virus) en .mp3 et qu'elle se lancera quand même mais bon et
après ?... Au pire elle efface les élements de l'utilisateur en cours et
c'est tout mais n'infestera rien (pas vraiment un virus quoi).
--
Fra
Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute dans un tag ID3... C'est des données j'ai quand même un peu de mal a avaler le concept, surtout comme il est décrit.
Moi non plus je ne suis pas convaincu. C'est surtout qu'on peut renommer une appli (virus) en .mp3 et qu'elle se lancera quand même mais bon et après ?... Au pire elle efface les élements de l'utilisateur en cours et c'est tout mais n'infestera rien (pas vraiment un virus quoi). -- Fra
h.sainct
si je comprends bien jusqu'au dernier post (avec son fichier de test!) la méthode d'infection consiste en un double-clic sur un fichier en .mp3 qui serait en fait déclaré au système comme un *application* et qui démarrerait donc froidement le virus (tout en lançant en plus iTunes avec un son, pour ne pas se faire remarquer).
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
L'idéal serait d'avoir un script qu'on associerait à un dossier, par exemple...
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en gros les fichiers musicaux et image, et c'est tout...
Hervé
-- Frédérique & Hervé Sainct, Frédérique's initial is missing in front of the above address l'initiale de Frédérique manque devant l'adresse email ci-dessus
si je comprends bien jusqu'au dernier post (avec son fichier de test!)
la méthode d'infection consiste en un double-clic sur un fichier en .mp3
qui serait en fait déclaré au système comme un *application* et qui
démarrerait donc froidement le virus (tout en lançant en plus iTunes
avec un son, pour ne pas se faire remarquer).
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque
.mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un
script, par exemple) qui permettrait de détecter ce genre de chose
("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec
extension masquée")?
L'idéal serait d'avoir un script qu'on associerait à un dossier, par
exemple...
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en
gros les fichiers musicaux et image, et c'est tout...
Hervé
--
Frédérique & Hervé Sainct, h.sainct@laposte.net
Frédérique's initial is missing in front of the above address
l'initiale de Frédérique manque devant l'adresse email ci-dessus
si je comprends bien jusqu'au dernier post (avec son fichier de test!) la méthode d'infection consiste en un double-clic sur un fichier en .mp3 qui serait en fait déclaré au système comme un *application* et qui démarrerait donc froidement le virus (tout en lançant en plus iTunes avec un son, pour ne pas se faire remarquer).
Hormis le fait qu'on peut (piètrement) s'en sortir en ouvrant chaque .mp3 *à partir* d'une application, n'y aurait-il pas une méthode (un script, par exemple) qui permettrait de détecter ce genre de chose ("tiens, un fichier qui contient .mp3 tout en se déclarant .app avec extension masquée")?
L'idéal serait d'avoir un script qu'on associerait à un dossier, par exemple...
En plus il ne doit pas y avoir beaucoup de terminaisons à tester: en gros les fichiers musicaux et image, et c'est tout...
Hervé
-- Frédérique & Hervé Sainct, Frédérique's initial is missing in front of the above address l'initiale de Frédérique manque devant l'adresse email ci-dessus
