Mai 2012
Un Troyen s'invite sur Mac OS X
par Christophe Laporte le 20.06.2008 à 10:07
Un Troyen sous la forme d'un AppleScript traîne sur iChat et LimeWire. Ce dernier s'attaque aussi bien à Leopard et à Tiger. SecureMac estime que ce cheval de Troie utilise une faille critique du système.
Quel aspect a-t-il ?
Dans les faits, vous ne risquez rien tant que vous n'exécutez pas le script en question qui prend soit la forme d'un script compilé soit d'une application. En fonction des cas, le fichier en question se nomme ASthtv05 et pèse 60 Ko ou AStht_v06 et fait 3.1 Mo.
Que fait ce cheval de Troie ?
Si l'un des fichiers en question est exécuté, les choses se compliquent par contre. Profitant d'une faille d'Apple Remote Desktop, le script parvient à obtenir les privilèges administrateur et commence à investir votre système. Il s'installe dans le dossier /Library/Caches/ et s'exécute automatiquement au démarrage. Pour ne pas attirer l'attention de l'utilisateur, il désactive l'enregistrement des messages systèmes et ouvre des ports du Firewall. Ce cheval de Troie est capable d'enregistrer ce que vous écrivez au clavier, d'activer le partage de fichiers, permet de prendre des captures d'écran ainsi que des photos à l'aide d'iSight et peut transmettre vos mots de passe.
Que faire pour se protéger ?
SecureMac et Intego ont déjà mis à jour leur antivirus respectif pour faire face à cette faille. Le mieux bien sûr est d'exécuter uniquement des fichiers provenant d'une source de confiance.
En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage. Ce service étant lancé par défaut, le script ne peut exploiter la faille d'Apple Remote Desktop lui permettant d'obtenir les pleins pouvoirs.
Que faire si vous avez été piégé ?
Soit vous installez la version de démonstration de MacScan, qui se chargera de l'éradiquer, soit de faire vous même le ménage en démarrant sur un disque externe.
Quel aspect a-t-il ?
Dans les faits, vous ne risquez rien tant que vous n'exécutez pas le script en question qui prend soit la forme d'un script compilé soit d'une application. En fonction des cas, le fichier en question se nomme ASthtv05 et pèse 60 Ko ou AStht_v06 et fait 3.1 Mo.
Que fait ce cheval de Troie ?
Si l'un des fichiers en question est exécuté, les choses se compliquent par contre. Profitant d'une faille d'Apple Remote Desktop, le script parvient à obtenir les privilèges administrateur et commence à investir votre système. Il s'installe dans le dossier /Library/Caches/ et s'exécute automatiquement au démarrage. Pour ne pas attirer l'attention de l'utilisateur, il désactive l'enregistrement des messages systèmes et ouvre des ports du Firewall. Ce cheval de Troie est capable d'enregistrer ce que vous écrivez au clavier, d'activer le partage de fichiers, permet de prendre des captures d'écran ainsi que des photos à l'aide d'iSight et peut transmettre vos mots de passe.
Que faire pour se protéger ?
SecureMac et Intego ont déjà mis à jour leur antivirus respectif pour faire face à cette faille. Le mieux bien sûr est d'exécuter uniquement des fichiers provenant d'une source de confiance.
En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage. Ce service étant lancé par défaut, le script ne peut exploiter la faille d'Apple Remote Desktop lui permettant d'obtenir les pleins pouvoirs.
Que faire si vous avez été piégé ?
Soit vous installez la version de démonstration de MacScan, qui se chargera de l'éradiquer, soit de faire vous même le ménage en démarrant sur un disque externe.
|
4
3
2
1
Vos réactions (50 réactions)
Gimli fils de Gloin
[20/06/2008 10:10]
Je flippe grave. Ah mais non, j'ai viré cette daube de iChat, c'est vrai.
Je flippe grave. Ah mais non, j'ai viré cette daube de iChat, c'est vrai.
ybart
[20/06/2008 10:14]
Quel dommage ! Cette faille n'utilise justemment pas iChat !
Quel dommage ! Cette faille n'utilise justemment pas iChat !
Nathalex
[20/06/2008 10:16]
Voilà une excellent nouvelle ! Je vais peut-être pouvoir activer le partage de fichier sur le MacBook professionnel de ma moitié qui n'a pas les droits pour le faire ;o)
Sinon, l'envie est grande de répondre sur la "daube" d'iChat mais ce n'est pas le sujet..........
Voilà une excellent nouvelle ! Je vais peut-être pouvoir activer le partage de fichier sur le MacBook professionnel de ma moitié qui n'a pas les droits pour le faire ;o)
Sinon, l'envie est grande de répondre sur la "daube" d'iChat mais ce n'est pas le sujet..........
boulifb
[20/06/2008 10:18]
Je n'utilise ni iChat, ni LimeWire...
Je n'utilise ni iChat, ni LimeWire...
MoMobmx
[20/06/2008 10:20]
"Quel dommage ! Cette faille n'utilise justement pas iChat !"
XD, tellement bien dit :P
"Quel dommage ! Cette faille n'utilise justement pas iChat !"
XD, tellement bien dit :P
seblesi
[20/06/2008 10:23]
M'en fout, toute façon y'a pas d'virus sur Mac! C'est ça qu'il faut dire hein.....??? ;)
M'en fout, toute façon y'a pas d'virus sur Mac! C'est ça qu'il faut dire hein.....??? ;)
surrion
[20/06/2008 10:27]
sa y'est sa commence vas falloir crée une campagne de pub anti mac pour diminuer le nombre de Switcher grandissant a vitesse du prix du baril
sa y'est sa commence vas falloir crée une campagne de pub anti mac pour diminuer le nombre de Switcher grandissant a vitesse du prix du baril
misterbrown
[20/06/2008 10:33]
J en tremble.
J en tremble.
Makhno
[20/06/2008 10:37]
Moi je dis, faut pas être totalement net pour lancer un truc au nom pareil sans savoir d'où il vient...
Moi je dis, faut pas être totalement net pour lancer un truc au nom pareil sans savoir d'où il vient...
EricBZH
[20/06/2008 10:42]
Ohlala, mais c'est pas possible :o( un cheval de troie sur mac !!!???
Vite, il faut que je retourne sur windows pour avoir des centaines de chevaux de Troie tous les jours !!!!
Ohlala, mais c'est pas possible :o( un cheval de troie sur mac !!!???
Vite, il faut que je retourne sur windows pour avoir des centaines de chevaux de Troie tous les jours !!!!
Ziflame
[20/06/2008 10:43]
Il a surement ete ecrit par Intego ou SecureMac :p
Il a surement ete ecrit par Intego ou SecureMac :p
Hak
[20/06/2008 10:46]
"En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage."
Attention ce n'est pas totalement vrai sur Tiger. J'ai fait des tests pour pouvoir appliquer la faille et sur Tiger lorsque ARD est désactivé, pas moyen d'executer un script sur ARDAgent.
C'est seulement en activant ARD dans les préférences que cela a marché mais de façon très aléatoire, la plupart des essais ont échoué. Donc je sais pas si Indigo a testé leur solution sur Tiger mais dans mon cas c'est tout le contraire qu'il faut faire. J'ai pas essayé sur Leopard, j'imagine que cela marche, mais sur Tiger c'est pas la même chose.
"En attendant qu'Apple rectifie le tir, il suffit d'activer par défaut la gestion à distance dans Partage."
Attention ce n'est pas totalement vrai sur Tiger. J'ai fait des tests pour pouvoir appliquer la faille et sur Tiger lorsque ARD est désactivé, pas moyen d'executer un script sur ARDAgent.
C'est seulement en activant ARD dans les préférences que cela a marché mais de façon très aléatoire, la plupart des essais ont échoué. Donc je sais pas si Indigo a testé leur solution sur Tiger mais dans mon cas c'est tout le contraire qu'il faut faire. J'ai pas essayé sur Leopard, j'imagine que cela marche, mais sur Tiger c'est pas la même chose.
Fabricius
[20/06/2008 10:47]
C'est le genre de news qui va attirer les troll, d'ailleurs ça commence bien...
Ensuite sur les sites du monde informatique ça va parler de cette faille, ça va bien ce moquer de nous mais bon comme toujours ils n'auront rien compris au truc, qui plus est nous quand ont parle de faille de sécurité c'est pour justement nous rappeler qu'elles existent et comment s'en protéger, alors que eux, il y en a tellement qu'ils n'ont même plus de news pour en parler sinon vive les floods sur ce genre de news ...
Tien... je me mettrais ty pas à troller moi ???!
Bon allé je me recouche :-s
Fabricius
C'est le genre de news qui va attirer les troll, d'ailleurs ça commence bien...
Ensuite sur les sites du monde informatique ça va parler de cette faille, ça va bien ce moquer de nous mais bon comme toujours ils n'auront rien compris au truc, qui plus est nous quand ont parle de faille de sécurité c'est pour justement nous rappeler qu'elles existent et comment s'en protéger, alors que eux, il y en a tellement qu'ils n'ont même plus de news pour en parler sinon vive les floods sur ce genre de news ...
Tien... je me mettrais ty pas à troller moi ???!
Bon allé je me recouche :-s
Fabricius
Silverscreen
[20/06/2008 10:47]
Virus et troyens sont deux choses distinctes et les virus sur Mac sont effectivement pour l'instant quasi absents de la plateforme OS X. Le troyen utilise au départ la naïveté de l'utilisateur pour l'inciter à lancer un programme compromettant la sécurité de son ordi en se faisant passer pour autre chose (StripPokerX.dmg ou un truc du genre). Un virus est un programme capable d'utiliser les failles de sécurité de nombreux systèmes pour se propager de l'un à l'autre des ordinateurs sans intervention de l'utilisateur.
En gros, dans un cas, y'a qu'un naïf à qui ça fait du tort, dans l'autre il contamine aussi toutes ses connaissances…en raison de failles de sécurité inhérentes au système qu'ils utilisent… (Windows, en l'occurrence, pour l'instant)
Virus et troyens sont deux choses distinctes et les virus sur Mac sont effectivement pour l'instant quasi absents de la plateforme OS X. Le troyen utilise au départ la naïveté de l'utilisateur pour l'inciter à lancer un programme compromettant la sécurité de son ordi en se faisant passer pour autre chose (StripPokerX.dmg ou un truc du genre). Un virus est un programme capable d'utiliser les failles de sécurité de nombreux systèmes pour se propager de l'un à l'autre des ordinateurs sans intervention de l'utilisateur.
En gros, dans un cas, y'a qu'un naïf à qui ça fait du tort, dans l'autre il contamine aussi toutes ses connaissances…en raison de failles de sécurité inhérentes au système qu'ils utilisent… (Windows, en l'occurrence, pour l'instant)
TotOOntHeMooN
[20/06/2008 10:55]
Encore... Faudra que je pense à le lancer pour qu'il prenne effet alors... LOL
Encore... Faudra que je pense à le lancer pour qu'il prenne effet alors... LOL
4
3
2
1
Réagir
Cinq consignes avant de réagir :
- Rester dans le cadre de la dépêche. Pour des discussions plus générales, vous pouvez utiliser nos forums.
- Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
- Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
- Pour toute remarque concernant le contenu de l'article, pour nous signaler une erreur, une faute d'orthographe, une omission, merci de nous contacter exclusivement par e-mail.
- Relisez-vous, et pour les utilisateurs de Safari profitez de l'aide du navigateur : activez le menu édition > Orthographe > Vérifier l'orthographe lors de la frappe.