Depuis vendredi soir la communauté Mac sur internet frémis sous le doux
nom de "Opener".
Opener est un script shell qui est en fait un dérivé d'outils de hacker
pour unix (RootKit) qui profite de droits accordés pour voler les mots
de passes, numéro de licence, etc... et installer un backdoor sur votre
machine.
A ce jour, il ne semble y avoir qu'une seule personne infectée.
On trouve beaucoup de détails sur cette histoire sur le site Macintoush
(1) en Anglais.
Les sites d'actus Mac francophone relaye l'information avec parfois
quelques approximations (on y parle de virus ou de cheval de troie, ce
qui n'est pas exact). (2) et (3).
Le script pour s'installer nécessite un accès physique a la machine, un
utilisateur doit donc le lancer manuellement sur la machine et donner le
mot de passe administrateur.
L'origine de ce script semble provenir d'un site de Hacker Mac (5)
L'éditeur d'anti-virus Sophos a semble-t-il été le premier a réagir (1),
suivi de près par Symantec
Après le "faux trojan" de intego, le "malware" qui se faisait passé pour
la démo de Office 2004 (téléchargeable) en p2p; les problèmes de
sécurité se multiplient cette année sur notre plateforme.
Il s'agit là de trojan (chevaux de troie) qui mystifie l'utilisateur
pour s'installer et faire les méchancetés; pas de virus donc.
Cela prouve, AMHA, l'attention que la plateforme Mac occasionne auprès
de tous (ça attire des hackers) et aussi que la sécurité est bien assuré
(pour l'instant) car ce n'est que par le biais de "tromperie" que ces
logiciels malveillant (malware) s'installent, pas par des failles de
sécurités.
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui
pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les
mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
- effectuer les mises à jour de sécurité Apple
- garder à jour le système
- se méfier des logiciels externes téléchargés
- se méfier des installeurs qui demandent un mot de passe
- contrôler l'activité du Firewall (activé)
Un article (anglais) sur le sujet chez macDevCenter (3)
Ouaip mais bon le comte non admin c'est pour qqun qui ne doit pas faire de betises dans mon dos et donc qui n'est pas sensé taper le mot de passe admin (voire même ne pas l'avoir)...
Ok.
Dans ce genre de cas les utilisateurs non admin ne sont plus autonomes (c'est quand même très chiant juste pour lire sa compactflash d'avoir besoin de l'admin)!
Bizarre, je viens de tester, aucuns soucis pour lire le contenu. Quand la carte a-t-elle été insérée ? durant la session non-admin ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Fra <fra@alussinan.org> wrote:
Ouaip mais bon le comte non admin c'est pour qqun qui ne doit pas faire
de betises dans mon dos et donc qui n'est pas sensé taper le mot de
passe admin (voire même ne pas l'avoir)...
Ok.
Dans ce genre de cas les
utilisateurs non admin ne sont plus autonomes (c'est quand même très
chiant juste pour lire sa compactflash d'avoir besoin de l'admin)!
Bizarre, je viens de tester, aucuns soucis pour lire le contenu. Quand
la carte a-t-elle été insérée ? durant la session non-admin ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Ouaip mais bon le comte non admin c'est pour qqun qui ne doit pas faire de betises dans mon dos et donc qui n'est pas sensé taper le mot de passe admin (voire même ne pas l'avoir)...
Ok.
Dans ce genre de cas les utilisateurs non admin ne sont plus autonomes (c'est quand même très chiant juste pour lire sa compactflash d'avoir besoin de l'admin)!
Bizarre, je viens de tester, aucuns soucis pour lire le contenu. Quand la carte a-t-elle été insérée ? durant la session non-admin ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
fra
Laurent Pertois wrote:
Quand la carte a-t-elle été insérée ? durant la session non-admin ?
Quand la carte a-t-elle été insérée ? durant la session non-admin ?
Voui voui. -- Fra
laurent.pertois
Fra wrote:
Laurent Pertois wrote:
Quand la carte a-t-elle été insérée ? durant la session non-admin ?
Voui voui.
Et le problème se manifestait comment ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Quand la carte a-t-elle été insérée ? durant la session non-admin ?
Voui voui.
Et le problème se manifestait comment ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Quand la carte a-t-elle été insérée ? durant la session non-admin ?
Voui voui.
Et le problème se manifestait comment ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
fra
Laurent Pertois wrote:
Et le problème se manifestait comment ?
Impossibilité de d'ouvrir les images importées en raison des droits.
Impossibilité de d'ouvrir les images importées en raison des droits.
-- Fra
laurent.pertois
Fra wrote:
Laurent Pertois wrote:
Et le problème se manifestait comment ?
Impossibilité de d'ouvrir les images importées en raison des droits.
Importées avec quoi ? où ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Impossibilité de d'ouvrir les images importées en raison des droits.
Importées avec quoi ? où ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Impossibilité de d'ouvrir les images importées en raison des droits.
Importées avec quoi ? où ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
fra
Laurent Pertois wrote:
Impossibilité de d'ouvrir les images importées en raison des droits.
Importées avec quoi ? où ?
Drag and drop de la carte mémoire vers le bureau -- Fra
Impossibilité de d'ouvrir les images importées en raison des droits.
Importées avec quoi ? où ?
Drag and drop de la carte mémoire vers le bureau -- Fra
laurent.pertois
Fra wrote:
Importées avec quoi ? où ?
Drag and drop de la carte mémoire vers le bureau
Pas normal, la copie se fait au nom de l'utilisateur et il devient propriétaire, normalement, que donnaient les autorisations sur la carte dans un pomme-i ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
Fra <fra@alussinan.org> wrote:
Importées avec quoi ? où ?
Drag and drop de la carte mémoire vers le bureau
Pas normal, la copie se fait au nom de l'utilisateur et il devient
propriétaire, normalement, que donnaient les autorisations sur la carte
dans un pomme-i ?
--
Politically Correct Unix - UTILITIES
The "touch" command has been removed from the standard distribution due
to its inappropriate use by high-level managers.
Pas normal, la copie se fait au nom de l'utilisateur et il devient propriétaire, normalement, que donnaient les autorisations sur la carte dans un pomme-i ?
-- Politically Correct Unix - UTILITIES The "touch" command has been removed from the standard distribution due to its inappropriate use by high-level managers.
fra
Laurent Pertois wrote:
Fra wrote:
Importées avec quoi ? où ?
Drag and drop de la carte mémoire vers le bureau
Pas normal,
J'en conviens!;)
la copie se fait au nom de l'utilisateur et il devient propriétaire, normalement, que donnaient les autorisations sur la carte dans un pomme-i ?
Pas vérifiés. (et je n'ai plus acces à cet ibook) -- Fra
la copie se fait au nom de l'utilisateur et il devient propriétaire, normalement, que donnaient les autorisations sur la carte dans un pomme-i ?
Pas vérifiés. (et je n'ai plus acces à cet ibook) -- Fra
NulModem
Pour ma part je considère que c'est aussi un ver car il a la faculté de se dupliquer sur les volumes système montés au démarrage.
Il essaye de se copier dans /System/Library/StartupItems sur tous les volumes montés, hors comme il est exécuté en root (StartupItems) il y parvient sans problème.
La personne qui l'a attrapé s'est fait piégé par une vengence d'un admin. Il bootait comme tous les jours son Mac en NetBoot à partir d'un serveur infecté.
Le même piège peut aussi vous arriver avec Opener si vous démarrez sur un disque externe infecté : il se propagera sur votre volume de démarrage et ainsi de suite.
Il est diffusé dans un rootkit pour MacOS X, mais on le trouve aussi dans la nature sur des images disques de Tiger en circulation, attention donc. (version 2.4.7 d'opener)
Enfin verrouillez les permissions de votre dossier /Library/StartupItems, car sur 5 Macs, 2 avaient drwxrwxrwx, ce qui permet à Opener de s'installer sans problème et au prochain démarrage de s'exécuter en ROOT !!! (une abbération que devrait corriger Apple)
Merci Pierre-Alain pour le reste des infos. -- NulModem
Pierre-Alain Dorange wrote:
FU2 : fr.comp.sys.mac
Depuis vendredi soir la communauté Mac sur internet frémis sous le doux nom de "Opener".
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root - effectuer les mises à jour de sécurité Apple - garder à jour le système - se méfier des logiciels externes téléchargés - se méfier des installeurs qui demandent un mot de passe - contrôler l'activité du Firewall (activé)
Pour ma part je considère que c'est aussi un ver car il a la faculté de
se dupliquer sur les volumes système montés au démarrage.
Il essaye de se copier dans /System/Library/StartupItems sur tous les
volumes montés, hors comme il est exécuté en root (StartupItems) il y
parvient sans problème.
La personne qui l'a attrapé s'est fait piégé par une vengence d'un
admin. Il bootait comme tous les jours son Mac en NetBoot à partir d'un
serveur infecté.
Le même piège peut aussi vous arriver avec Opener si vous démarrez sur
un disque externe infecté : il se propagera sur votre volume de
démarrage et ainsi de suite.
Il est diffusé dans un rootkit pour MacOS X, mais on le trouve aussi
dans la nature sur des images disques de Tiger en circulation, attention
donc. (version 2.4.7 d'opener)
Enfin verrouillez les permissions de votre dossier
/Library/StartupItems, car sur 5 Macs, 2 avaient drwxrwxrwx, ce qui
permet à Opener de s'installer sans problème et au prochain démarrage de
s'exécuter en ROOT !!! (une abbération que devrait corriger Apple)
Merci Pierre-Alain pour le reste des infos.
--
NulModem
Depuis vendredi soir la communauté Mac sur internet frémis sous le doux
nom de "Opener".
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui
pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les
mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels :
- ne pas activer le compte root
- effectuer les mises à jour de sécurité Apple
- garder à jour le système
- se méfier des logiciels externes téléchargés
- se méfier des installeurs qui demandent un mot de passe
- contrôler l'activité du Firewall (activé)
Pour ma part je considère que c'est aussi un ver car il a la faculté de se dupliquer sur les volumes système montés au démarrage.
Il essaye de se copier dans /System/Library/StartupItems sur tous les volumes montés, hors comme il est exécuté en root (StartupItems) il y parvient sans problème.
La personne qui l'a attrapé s'est fait piégé par une vengence d'un admin. Il bootait comme tous les jours son Mac en NetBoot à partir d'un serveur infecté.
Le même piège peut aussi vous arriver avec Opener si vous démarrez sur un disque externe infecté : il se propagera sur votre volume de démarrage et ainsi de suite.
Il est diffusé dans un rootkit pour MacOS X, mais on le trouve aussi dans la nature sur des images disques de Tiger en circulation, attention donc. (version 2.4.7 d'opener)
Enfin verrouillez les permissions de votre dossier /Library/StartupItems, car sur 5 Macs, 2 avaient drwxrwxrwx, ce qui permet à Opener de s'installer sans problème et au prochain démarrage de s'exécuter en ROOT !!! (une abbération que devrait corriger Apple)
Merci Pierre-Alain pour le reste des infos. -- NulModem
Pierre-Alain Dorange wrote:
FU2 : fr.comp.sys.mac
Depuis vendredi soir la communauté Mac sur internet frémis sous le doux nom de "Opener".
Il convient de rester éveiller de surveiller l'avenir de ce "Opener" qui pourrait se retrouver transformer en vrai "trojan" (ou pire) dans les mains d'un malveillant.
Le mieux reste encore de suivre les conseils habituels : - ne pas activer le compte root - effectuer les mises à jour de sécurité Apple - garder à jour le système - se méfier des logiciels externes téléchargés - se méfier des installeurs qui demandent un mot de passe - contrôler l'activité du Firewall (activé)
