Possibilté de virus mac dans fichier mp3

Le
ADDRESS
Bonjour,

Un programmeur vient de démontrer qu'il est possible d'infecter un Mac
avec un virus se faisant passer pour (ou incrusté dans) un simple
fichier mp3 :

http://tinyurl.com/22kfa

Je ne sais pas si ça a déjà été fait, mais la possibilté est là
Attention
--
ric

ric at pixelligence dot com
Vos réponses Page 1 / 7
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
patpro ~ patrick proniewski
Le #1099446
In article (ric zito) wrote:

Bonjour,

Un programmeur vient de démontrer qu'il est possible d'infecter un Mac
avec un virus se faisant passer pour (ou incrusté dans) un simple
fichier mp3 :

http://tinyurl.com/22kfa



et ? :)

Je ne sais pas si ça a déjà été fait, mais la possibilté est là...
Attention...


c'est vaguement ce que fait bon nombre de virus : se planquer dans un
fichier de data ou un exe. C'est classique, je ne vois rien de neuf ici.
Que le virus soit planqué dans un tag ID3 un vrai mp3, ou qu'il soit
juste déguisé en mp3 ne change pas grand chose, a part sur le plan de sa
propagation probablement.

D'ailleurs a l'heure qu'il est les lobby de l'entertainment sont en
train de remplir les réseaux p2p de mp3 ou divx "piégés". Maintenant ils
peuvent le faire avec des fichiers valides en plus, c'est la fête.

patpro

--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php

Patrick Stadelmann
Le #1099441
In article patpro ~ patrick proniewski
Que le virus soit planqué dans un tag ID3 un vrai mp3, ou qu'il soit
juste déguisé en mp3 ne change pas grand chose, a part sur le plan de sa
propagation probablement.


Dans Mac OS X, il y a plein de moyens de voir la supercherie :

- Lire les infos ou le mettre dans un dossier en vue par liste.

- Utiliser le menu contextuel : tiens, il n'y a pas de "Ouvrir avec"

- Tenter de glisser le fichier vers le Dock : tiens, on ne peut pas le
mettre dans la partie Document, mais il passe dans Application

Patrick
--
Patrick Stadelmann
listes
Le #1099440
Patrick Stadelmann
Dans Mac OS X, il y a plein de moyens de voir la supercherie :


Voui, mais bon:
- c'est vite lassant de faire ça pour chaque truc reçu
ça n'empêche pas l'exécution de code contenu dans les tags ID3 d'un vrai
MP3, si ce qui est décrit dans l'article est exact.

--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47

ADDRESS
Le #1099294
Patrick Stadelmann
In article patpro ~ patrick proniewski
Que le virus soit planqué dans un tag ID3 un vrai mp3, ou qu'il soit
juste déguisé en mp3 ne change pas grand chose, a part sur le plan de sa
propagation probablement.


Dans Mac OS X, il y a plein de moyens de voir la supercherie :

- Lire les infos ou le mettre dans un dossier en vue par liste.

- Utiliser le menu contextuel : tiens, il n'y a pas de "Ouvrir avec"

- Tenter de glisser le fichier vers le Dock : tiens, on ne peut pas le
mettre dans la partie Document, mais il passe dans Application

Patrick


Oui d'accord. Mais quid les gens qui n'ont pas ce genre de reflexe?
S'ils ne font que dbl-cliquer pour lancer le fichier?
--
ric

ric at pixelligence dot com


phpinfo
Le #1099292
Olivier Goldberg
ça n'empêche pas l'exécution de code contenu dans les tags ID3 d'un vrai
MP3, si ce qui est décrit dans l'article est exact.


Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute
dans un tag ID3... C'est des données j'ai quand même un peu de mal a
avaler le concept, surtout comme il est décrit.

Notons que l'article original qui décrit ça vient de l'abscure
alt.binaries.schematic.electronic...

--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac Clarus, the DogCow
patpro ~ patrick proniewski
Le #1099291
In article (Pierre-Alain Dorange) wrote:

Olivier Goldberg
ça n'empêche pas l'exécution de code contenu dans les tags ID3 d'un vrai
MP3, si ce qui est décrit dans l'article est exact.


Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute
dans un tag ID3... C'est des données j'ai quand même un peu de mal a
avaler le concept, surtout comme il est décrit.



tu peux télécharger la PoC (fin de la page) pour tester par toi même.
Perso, j'ai pas testé.

patpro

--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php


phpinfo
Le #1099288
patpro ~ patrick proniewski
ça n'empêche pas l'exécution de code contenu dans les tags ID3 d'un vrai
MP3, si ce qui est décrit dans l'article est exact.


Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute
dans un tag ID3... C'est des données j'ai quand même un peu de mal a
avaler le concept, surtout comme il est décrit.



tu peux télécharger la PoC (fin de la page) pour tester par toi même.
Perso, j'ai pas testé.


C'est pas la même chose que ce qui expiqué au début, c'est juste une
application qui est nommé toto.mp3... La je suis d'accord que ça peut
induire en erreur (c'est un cheval de troie pas un virus).
Mais le coup expliqué au début du tag ID3 qui exécute du code quand on
joue le morceau dans iTunes, ça j'ai un peu de mal a l'avaler...

--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac Clarus, the DogCow


Patrick Stadelmann
Le #1099287
In article patpro ~ patrick proniewski
tu peux télécharger la PoC (fin de la page) pour tester par toi même.
Perso, j'ai pas testé.


La PoC c'est une application. Si c'était un fichier, son code ne serait
pas exécutable.

Patrick
--
Patrick Stadelmann
patpro ~ patrick proniewski
Le #1099286
In article (Pierre-Alain Dorange) wrote:

patpro ~ patrick proniewski
ça n'empêche pas l'exécution de code contenu dans les tags ID3 d'un vrai
MP3, si ce qui est décrit dans l'article est exact.


Euh... je suis pas franchement convainçut sur quoi que ce soit s'exécute
dans un tag ID3... C'est des données j'ai quand même un peu de mal a
avaler le concept, surtout comme il est décrit.



tu peux télécharger la PoC (fin de la page) pour tester par toi même.
Perso, j'ai pas testé.


C'est pas la même chose que ce qui expiqué au début, c'est juste une
application qui est nommé toto.mp3... La je suis d'accord que ça peut
induire en erreur (c'est un cheval de troie pas un virus).
Mais le coup expliqué au début du tag ID3 qui exécute du code quand on
joue le morceau dans iTunes, ça j'ai un peu de mal a l'avaler...



j'ai fait que survoler (meme pas honte) mais il m'a semblé que la
personne disait qu'il est possible de faire un mp3 valide, avec du code
executable dans un ID3. Le code n'etant appelé que si on double clic sur
le fichier, iTunes quant a lui lisant le mp3 comme si de rien était.

Je cite :

If done properly (one way
that leaps to mind is to plug the viral code into the ID3 tag intended
to contain cover art, and write the .mp3 file with a JMP or BRA
instruction starting at the first byte of the file, targeted to jump
into the executable portion hiding in the ID3 tag) it would even be
playable from within an application (like if it were played by being put
on a playlist in an application, rather than double-clicked), though it
might seem to have a small glitch at the beginning due to the "corrupted
data block" of the JMP instruction.


Quand à la PoC, si j'ai bien compris, c'est exactement ce qu'elle fait.

patpro

--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php




Patrick Stadelmann
Le #1099285
In article (ric zito) wrote:

Oui d'accord. Mais quid les gens qui n'ont pas ce genre de reflexe?
S'ils ne font que dbl-cliquer pour lancer le fichier?


C'est comme tout, il faut apprendre... Ce n'est pas parce qu'un fichier
a un icône de MP3 que c'est une MP3. Mais c'est franchement pas nouveau,
depuis le Système 7, c'est enfantin de remplacer l'icône d'une
application par celle d'un fichier et nombre de petit rigolo ont ainsi
essayé de faire passer, par exemple, un AppleScript pour un fichier PDF.

Il faut juste savoir à quoi on peut faire confiance (le type de fichier
indiqué dans la fenêtre d'info par exemple) et ce qui peut être
facilement trafiqué (l'icône).

Patrick
--
Patrick Stadelmann
Publicité
Poster une réponse
Anonyme