Discussion:
[ANN] le premier virus MacOS X!
(trop ancien pour répondre)
Olivier Goldberg
2004-04-08 21:12:48 UTC
Permalink
Bonsoir,

ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.

En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.

Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?

INTEGO SECURITY ALERT

Intego Announces Protection against the First Mac OS X Trojan Horse:
MP3Concept



Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.

The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.

Mac OS X displays the icon of the MP3 file, with an .mp3 extension,
rather than showing the file as an application, leading users to believe
that they can double-click the file to listen to it. But double clicking
the file launches the hidden code, which can damage or delete files on
computers running Mac OS X, then iTunes to play the music contained in
the file, to make users think that it is really an MP3 file . While the
first versions of this Trojan horse that Intego has isolated are benign,
this technique opens the door to more serious risks.


This Trojan horse has the potential to do any of the following:
- Delete all of a user's personal files
- Send an e-mail message containing a copy of itself to other users
- Infect other MP3, JPEG, GIF or QuickTime files

Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.

Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique. All Intego
VirusBarrier users should make sure that their virus definitions are up
to date by using the NetUpdate preference pane in the Mac OS X System
Preferences.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Saïd
2004-04-08 21:25:49 UTC
Permalink
Post by Olivier Goldberg
Bonsoir,
ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Tres exactement ce qu'il ne faut pas faire avec une piece jointe dans un
mail non sollicite ou qui n'explique pas precisemment ce qu'est la piece
jointe tout en provenant de quelqu'un que l'on connait.
--
Saïd.
JRP
2004-04-09 17:14:27 UTC
Permalink
Post by Saïd
Tres exactement ce qu'il ne faut pas faire avec une piece jointe dans un
mail non sollicite ou qui n'explique pas precisemment ce qu'est la piece
jointe tout en provenant de quelqu'un que l'on connait.
Je viens d'avoir une grosse attaque (une quarantaine de messages)
détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce
jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune,
mais j'ai failli me faire avoir parce que l'un de ces messages provenait
de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ? Je suis
sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ?
--
J. Pelmont
http://perso.wanadoo.fr/pelmont/index.html
for mail remove "aky"
Benoist Felsenheld
2004-04-09 17:17:07 UTC
Permalink
Post by JRP
Je viens d'avoir une grosse attaque (une quarantaine de messages)
détectés par mon antivirus (Virus Barrier X d'Intego), du type pièce
jointe avec un message "undelivered, etc". Je n'en ai ouvert aucune,
mais j'ai failli me faire avoir parce que l'un de ces messages provenait
de quelqu'un de l'Université de Lille. Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ? Je suis
sur MacOS X avec Eudora comme lecteur. Est-ce un truc du genre de SWEN ?
Non, rien à voir. Ca c'est du virus pour pc.
--
Benoist
Pierre-Alain Dorange
2004-04-09 17:20:26 UTC
Permalink
Post by JRP
Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ?
Absolument aucun rapport... W32.XXXX indique un virus pour plateforme
Win32 soit Windows.
Tu ne crains rien de ce type virus.
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Patrick Stadelmann
2004-04-09 17:24:02 UTC
Permalink
Post by JRP
At-il quelque chose à voir avec le virus dont vous discutez ?
non, le W32 indique que c'est un virus Windows.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Olivier Goldberg
2004-04-09 17:27:00 UTC
Permalink
Post by JRP
Ce virus s'appelle W32.NetSky.
At-il quelque chose à voir avec le virus dont vous discutez ?
Ca, c'est un virus exclusivement pour Windows qui n'a rien à voir avec
ce dont on parle. Il est totalement inoffensif sur ton Mac, rassure-toi.
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Éric Lévénez
2004-04-08 21:29:03 UTC
Permalink
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des
extensions cachées, des type/créateurs cachés, des icônes modifiables, toute
icône montrant un type de fichier peut être en fait un tout autre type de
fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et
la modification des icônes des fichiers, on aurait un système plus sûr :
l'icône d'un document d'une application lancerait cette application.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Patrick Stadelmann
2004-04-08 21:39:28 UTC
Permalink
Post by Éric Lévénez
Si Apple abandonnait les types/créateurs, les extensions cachés et
l'icône d'un document d'une application lancerait cette application.
Non... On peut très bien faire une application dont l'icône est celle
d'un fichier MP3.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Éric Lévénez
2004-04-08 21:59:34 UTC
Permalink
Le 8/04/04 23:39, dans
Post by Patrick Stadelmann
Post by Éric Lévénez
Si Apple abandonnait les types/créateurs, les extensions cachés et
l'icône d'un document d'une application lancerait cette application.
Non... On peut très bien faire une application dont l'icône est celle
d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!! Mais il faut aussi que
l'utilisateur ne lance pas n'importe quoi et cela est vrai sur tout système.
Si j'envoie un fichier script avec un bon effacement récursif, par email et
si l'utilisateur distant clique sur l'exécutable, alors il se passera des
choses pas jolies, que ce soit sous Unix, Linux, Windows, Mac OS X ou
Mac OS. Les bidouilles extensions/type/créateur/modif d'icônes peuvent
servir trop facilement à faire des chevaux de Troie.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Patrick Stadelmann
2004-04-08 22:14:44 UTC
Permalink
Post by Éric Lévénez
Le 8/04/04 23:39, dans
Post by Patrick Stadelmann
Non... On peut très bien faire une application dont l'icône est celle
d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!!
Mais à part interdire aux applications d'avoir leur propre icônes, je
vois pas de solution.
Post by Éric Lévénez
Mais il faut aussi que
l'utilisateur ne lance pas n'importe quoi et cela est vrai sur tout système.
A qui le dis-tu :-) Surtout que pour le coup de l'appli qui se
déguise en document, il y a un moyen très efficace pour s'apercevoir de
la supercherie : la vue par liste et le champ "Kind". Se baser sur
l'icône pour identifier un fichier comme un document n'est pas sûr, mais
ça ce n'est pas nouveau.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Éric Lévénez
2004-04-09 05:59:25 UTC
Permalink
Le 9/04/04 0:14, dans
Post by Patrick Stadelmann
Post by Éric Lévénez
Le 8/04/04 23:39, dans
Post by Patrick Stadelmann
Non... On peut très bien faire une application dont l'icône est celle
d'un fichier MP3.
Oui bien sûr, c'est justement le problème !!!
Mais à part interdire aux applications d'avoir leur propre icônes, je
vois pas de solution.
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3. Et au moins avec cela en regardant un fichier .mp3, son icône dira qui
va l'ouvrir (par exemple iTunes). Après ce sera à chaque utilisateur à
savoir que si il clique sur un .app ou un .command... il lancera une
application. Le problème de clic pour l'utilisateur ne vient que des
fichiers "connus" comme les MP3, les GIF, les DOC... qui doivent rester des
documents avec l'icône de l'application par défaut. Pour tout ce que
l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait
ce que fera l'icône.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
JP
2004-04-09 06:15:37 UTC
Permalink
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
--
JP
Éric Lévénez
2004-04-09 06:20:37 UTC
Permalink
Post by JP
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Cela fait des années que j'ai parlé de ce problème d'informations masquées
avec les risques de sécurité associés. Pour moi il faut que les informations
soient affichées, c'est clair et net. Les macounets trouvaient que cela
faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Patrick Stadelmann
2004-04-09 07:19:49 UTC
Permalink
Post by Éric Lévénez
Cela fait des années que j'ai parlé de ce problème d'informations masquées
avec les risques de sécurité associés. Pour moi il faut que les informations
soient affichées, c'est clair et net. Les macounets trouvaient que cela
faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
Non ! Il faut juste chercher l'information au bon endroit !!!

- dans le nom du fichier... son nom !
- dans son icône... son icône !
- et dans son type... son type !!!

Pourquoi vouloir tout mélanger ?

Que le type soit dérivé de l'extension (visible ou pas), ou des
mete-donnees, ou du contenu (le Finder utilise "file" dans certains cas)
ce n'est pas le problème de l'utilisateur. Ce qui importe c'est qu'il
ait accès de manière fiable au type finalement déterminé. Ce qui a
toujours été le cas avec Mac OS, pour autant qu'on prenne la peine de
regarder au bon endroit.

Patrick
--
Patrick Stadelmann <***@unine.ch>
ric zito
2004-04-09 08:26:49 UTC
Permalink
Post by Éric Lévénez
Post by JP
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Cela fait des années que j'ai parlé de ce problème d'informations masquées
avec les risques de sécurité associés. Pour moi il faut que les informations
soient affichées, c'est clair et net. Les macounets trouvaient que cela
faisait trop "Windows"... Les mauvaises habitudes sont dures à changer.
Autant je suis d'accord sur la nécéssité de se protéger, autant je
trouve ça dommage qu'on soit obligé d'ajouter cette couche de complexité
interfaciale. Le macounet a pour habitude de faire abstraction de
l'outil au profit du travail qu'on fait avec. Pour moi, ajouter des
extensions, supprimer la meta-data, afficher en mode liste, trier par
type etc. sont des steps peut-être nécéssaires aujourd'hui, mais
malheureusement retrogrades. Vous qui venez du monde Unix, ça fait
partie de votre culture. Mais pour moi, difficile de qualifier cela de
progrès.

Avant, grace aux meta-data, on ne se souciait pas de la forme, mais du
fond. Pas le fichier lui-même, mais son contenu. On "conduisait la
voiture" sans forcément savoir comment elle marchait, et sans être
mécano. C'était une belle et simple époque. Le travail primait sur
l'outil.

Il semble que cette époque est révolue...
Depuis l'ère de l'internet, l'informatique tend vers la complexité,
malgré les efforts d'Apple, (et il faut dire, Microsoft aussi) de la
masquer. Toujours pour des raisons de sécurité. Et voilà un pas de plus.
En arrière AMHA.

Inévitable, peut-être, mais dommage quand-même.
--
ric

ric at pixelligence dot com
Patrick Stadelmann
2004-04-09 08:46:12 UTC
Permalink
Post by ric zito
Pour moi, ajouter des
extensions, supprimer la meta-data, afficher en mode liste, trier par
type etc. sont des steps peut-être nécéssaires aujourd'hui, mais
malheureusement retrogrades.
L'affichage par liste (ou la lecture des infos) a toujours été le seul
moyen fiable d'identifier une application, que se soit dans Mac OS X,
Mac OS 9 ou le Système 6 !

Les changements apportés par Mac OS X au niveau des extensions et des
meta-data n'a rien à voir avec ce type de virus.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Julien Jalon
2004-04-09 12:12:55 UTC
Permalink
Post by JP
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application. Avec cela, une
application sera repérable par son extension .app, même si elle a une icône
MP3
Absolument. On de devrait pas pouvoir tricher sur l'extension, c'est un
moyen simple et immédiat de savoir à quoi on a affaire. Cette
possibilité de tricher sur les extensions dans Mac OS X peut rendre les
Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Rah.... vous vous focalisez sur ce problème d'extension cachée ou non
alors que ça n'est absolument pas le problème ici. De par sa façon
d'implémenter le système de cachage d'extension, Apple est bien
moins vulnérable que Windows qui n'a que le tout ou rien.

Petit scénario sur les 2 plateformes (avec masquage d'extensions
activées), que vous pouvez tester :
1) envoyer un fichier toto.mp3.tiff par mail
2) le mac affiche toto.mp3.tiff, même déposé sur le bureau
car ce fichier en particulier n'a pas sa propriété "masquer l'extension"
(cette propriété n'est pas transmise par mail, ftp, http...)
3) le PC/Windows affiche toto.mp3 parce que, comme tous les fichiers du
file-système, le PC cache les extensions.

Bien-sûr, Apple doit adapter 2 choses :
1) le masquage de .app ne doit pas être automatique et obligatoire
2) les launch services ne doivent pas permettre l'ouverture automatique
d'un fichier à double extensions connu.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Patrick Stadelmann
2004-04-09 14:46:07 UTC
Permalink
Post by Julien Jalon
1) le masquage de .app ne doit pas être automatique et obligatoire
Faudrait déjà que le .app soit obligatoire, ce qui n'est pas le cas.
Post by Julien Jalon
2) les launch services ne doivent pas permettre l'ouverture automatique
d'un fichier à double extensions connu.
Automatique ?

Patrick
--
Patrick Stadelmann <***@unine.ch>
Fra
2004-04-09 16:37:02 UTC
Permalink
Post by Patrick Stadelmann
Faudrait déjà que le .app soit obligatoire, ce qui n'est pas le cas.
Euh non c'est pas beau !

Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
--
Fra
Éric Lévénez
2004-04-09 16:48:03 UTC
Permalink
Post by Fra
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Fra
2004-04-09 17:27:14 UTC
Permalink
Post by Éric Lévénez
Post by Fra
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
Et voilà quoi ? Tu imagines qu'à chaque fois que tu cliques pour lancer une
application, tu as un message du type "Voulez-vos vraiment lancer cette
application ?" Are you sure ? Et pour toi c'est quoi une extension ? Par
exemple "Universalis 9.0" a une extension ou pas et pourquoi ? Make my day.
Bon alors .app obligatoire *mais invisible* et alerte quand y'a pas.
--
Fra
Patrick Stadelmann
2004-04-09 16:54:46 UTC
Permalink
Post by Fra
Il suffirait que le système prévienne (avant lancement) qu'on a affaire
à une appli contrairement à ce qu'indique l'extension. Et voilà.
C'est à l'utilisateur de vérifier que le fichier est bien un document et
pas une application. C'est fiable et très vite fait (j'ai déjà cité
quelques méthodes pour le faire).

Patrick
--
Patrick Stadelmann <***@unine.ch>
Damien Manoeuvre
2004-04-09 17:18:35 UTC
Permalink
Cette possibilité de tricher sur les extensions dans Mac OS X peut rendre
les Macs encore plus vulnérables aux virus que les PC. Il est urgent d'y
remédier, car ce virus ne sera certainement pas le dernier.
Cette possibilité existe depuis des anneés avec Mac OS 9 et ces
prédécesseurs.
Les Mac ne sont pas infestés de virus pour autant.
--
D.Manoeuvre
Patrick Stadelmann
2004-04-09 07:12:04 UTC
Permalink
Post by Éric Lévénez
Pour tout ce que
l'utilisateur ne connaît pas, il ne doit pas cliquer dessus, sauf s'il sait
ce que fera l'icône.
Non, il doit vérifier le type via la vue par liste ou les infos (ou un
clic-droit sur le fichier). Ca permet 1) de voir si c'est une appli ou
pas et 2) de voir quelle appli va l'ouvrir si c'est un document.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Fra
2004-04-09 11:16:45 UTC
Permalink
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application.
Un PC quoi! Beuark!...
--
Fra
Éric Lévénez
2004-04-09 12:39:25 UTC
Permalink
Post by Fra
Post by Éric Lévénez
Ne pas cacher l'extension, ne plus utiliser les types/créateurs et ne pas
permettre d'icône sur autre chose qu'une application.
Un PC quoi! Beuark!...
Et revoilà les réactions primaires et non réfléchies...
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Fra
2004-04-09 16:26:40 UTC
Permalink
Post by Éric Lévénez
Et revoilà les réactions primaires et non réfléchies...
Moi je suis pret à sacrifié un peu de sécurité pour un peu de liberté
(changer les icones de tout).
--
Fra
Julien Jalon
2004-04-08 22:51:27 UTC
Permalink
Post by Éric Lévénez
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des
extensions cachées, des type/créateurs cachés, des icônes modifiables, toute
icône montrant un type de fichier peut être en fait un tout autre type de
fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et
l'icône d'un document d'une application lancerait cette application.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Arf, tu recommences à dire n'importe quoi, mon cher ami...
L'extension est toujours visible dans une appli de mail (le fait que
l'extension soit cachée étant une propriété propre à un fichier stocké
sur un file-system HFS. En gros, pour réaliser une telle chose, il faut
encapsuler le pseudo fichier .mp3.app (par exemple) dans une image DMG
(ça marche aussi pour une archive non "HFS compliant" mais il faut
rajouter des fichiers additionels pour simuler cette propriété, regarder
par exemple les archives ZIP produites par le Finder avec unzip -l dans
un terminal)

Bien que mettre une sémantique dans le nom de fichier (l'extension, en
l'occurrence) soit une hérésie (un nom est... un nom), le système retenu
par Apple est sûrement le meilleur compromis. Il reste que l'UI devrait
toujours informer l'utilisateur si un fichier a une double extension.
En plus, les launch-services sont à même de déceler ce genre de
"manipulation" (c'est même utilisé par le Finder quand tu changes
l'extension d'un fichier...)

Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
patpro ~ patrick proniewski
2004-04-08 23:13:09 UTC
Permalink
Post by Julien Jalon
Arf, tu recommences à dire n'importe quoi, mon cher ami...
L'extension est toujours visible dans une appli de mail
[snip]

et les appli carbon n'ont pas de .app, et si tu colles .mp3 derriere
l'utilisateur n'y voit que du feu.
Post by Julien Jalon
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
c'est pas n'importe quoi, ca a été discuté ici dans une enfilade de plus
de 65 messages, pas plus tard que cette semaine.
Il s'agit juste d'une appli carbon nommée truc.mp3, contenant en data un
vrai mp3 et dont le code viral est dans un tag ID3. L'amorce du fichier
fait en sorte que le code contenu dans le tag ID3 soit executé. Le code
en question, si il est malin, lance itunes et force ce dernier a lire
truc.mp3 comme un fichier audio. Le tour est joué.


patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Pierre-Alain Dorange
2004-04-09 07:59:24 UTC
Permalink
Post by patpro ~ patrick proniewski
c'est pas n'importe quoi, ca a été discuté ici dans une enfilade de plus
de 65 messages, pas plus tard que cette semaine.
En effet et je trouve bien étrange que quelques jours (2 jours pour être
exact) après notre discussion sur *exactement* cela, INTEGO annonce un
nouveau cheval de troie...
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit
malin ayant lus cette enfilade a cru bon de créer la chose mais en
quelques jours que ce soit crées et que INTEGO le repère montre soit
leur grande réactivité, soit...
Post by patpro ~ patrick proniewski
Il s'agit juste d'une appli carbon nommée truc.mp3, contenant en data un
vrai mp3 et dont le code viral est dans un tag ID3. L'amorce du fichier
fait en sorte que le code contenu dans le tag ID3 soit executé.
C'est pas tout à fait ça. C'est juste une application qui se nomme
truc.mp3 et qui une fois lancé peut exécuter du code malicieux (comme
n'importe quelle aplication) et qui pour mieux tromper son monde lance
iTunes.
Je ne vois aucun rapport avec les fameux tag ID3...

Voir l'enfilade sur ce sujet :
Message-ID: <1gbu1mk.1f1pvi41a44zmkN%***@IN.SIG>

Cette enfilade avait été crée après une discussion sur ce même problème
potentiel sur <comp.sys.mac.programmer.misc> le 18/03/2004.

Rappellons qu'il ne s'agit de rien de bien neuf (une application
déguisée) mais qu'il covient de rester prudent bien évidemment.

Attendons de voir la suite du relai de cette informations par d'autres
éditeur d'anti-virus.
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Fra
2004-04-09 11:27:53 UTC
Permalink
Post by Pierre-Alain Dorange
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit
malin ayant lus cette enfilade a cru bon de créer la chose mais en
quelques jours que ce soit crées et que INTEGO le repère montre soit
leur grande réactivité, soit...
soit que ce virus n'existe pas et qu'Intego se fait un gros coup de pub
à l'esbrouffe.
On notera qu'ils ne sont pas en mesure de dire ce qu'il fait exactement
(mais seulement potentiellement).
De plus en ébruitant le plus possible Intego peut expérer que qqun
développera le virus ce qui devrait booster leur vente pour mac
(parceque franchement pour le moment un antivirus pour mac ça me fait
rigoler).
--
Fra
Pierre-Alain Dorange
2004-04-09 12:28:40 UTC
Permalink
Post by Fra
Post by Pierre-Alain Dorange
Soit INTEGO lis fcomx et prend les devant sur ce problème; soit un petit
malin ayant lus cette enfilade a cru bon de créer la chose mais en
quelques jours que ce soit crées et que INTEGO le repère montre soit
leur grande réactivité, soit...
soit que ce virus n'existe pas et qu'Intego se fait un gros coup de pub
à l'esbrouffe.
C'est une possibilité en effet, pour l'instant aucun relai officiel de
ce cheval de troie, ni chez les concurrents de Intego (Network
associate, Norton et autres), ni chez Apple/Security.
Post by Fra
[...]
(parceque franchement pour le moment un antivirus pour mac ça me fait
rigoler).
Faut pas trop "fanfaronner" la dessus non plus, MacOS X ou pas n'empêche
en rien l'apparition d'un virus, c'est juste de "faible marché" qui fait
que MacOSX et relativement à l'abri à ce jour. Mais demain matin un
virus très virulent peut très bien faire son apparition dans notre monde
et ça arrivera tot ou tard.
Perso, je prefère prevenir que guérir.
Au boulot j'use d'anti-virus sur notre parc mac; à la maison pas
encore...
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Frédérique & Hervé Sainct
2004-04-09 16:52:08 UTC
Permalink
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait
facilement faire un script de dossier (pour votre dossier "downloads",
votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant
.mp3 est une application (en le déplaçant vers un dossier "suspects" par
ex.)

En ajoutant tant qu'à faire les 2-3 extensions les plus, disons,
échangées on aurait vite fait le tour...

Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie"
avec moi? ;-D

Hervé
--
Frédérique & Hervé Sainct, ***@laposte.net
Frédérique's initial is missing in front of the above address
l'initiale de Frédérique manque devant l'adresse email ci-dessus
Éric Lévénez
2004-04-09 16:59:13 UTC
Permalink
Post by Frédérique & Hervé Sainct
Je persiste à pense que quelqu'un d'un peu branché Applescript pourrait
facilement faire un script de dossier (pour votre dossier "downloads",
votre dossier "attachments"...) qui réagisse dès qu'un fichier contenant
.mp3 est une application (en le déplaçant vers un dossier "suspects" par
ex.)
Le nom du fichier peut être quelconque, comme par exemple "toto.gif",
"truc.html" ou "bidule"... Mais on ne peut pas télécharger cela directement
car il faut les types/créateurs d'HFS+ ainsi que la partie ressources HFS+.
Le téléchargement doit donc utiliser une encapsulation dans un SIT, DMG...
Ou alors doit être réalisé par un outil connaissant les particularités HFS+
(comme Mail par exemple).
Post by Frédérique & Hervé Sainct
En ajoutant tant qu'à faire les 2-3 extensions les plus, disons,
échangées on aurait vite fait le tour...
Non car l'extension ne sert à rien, tout comme l'icône. Un fichier sans
extension marcherait aussi vu que c'est le type APPL codé dans les
meta-datas HFS+ qui est utilisé.
Post by Frédérique & Hervé Sainct
Qui est-ce qui se monte une boîte de "pourfendeurs de chevaux de Troie"
avec moi? ;-D
Qui relance la pétition pour supprimer les types/créateurs d'HFS+ ?
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Julien Jalon
2004-04-08 23:12:17 UTC
Permalink
Bon, donc, après vérification, c'est bien un problème des meta-data...
le système de cachage d'extension de MacOS X n'est pas en cause.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Patrick Stadelmann
2004-04-08 23:29:22 UTC
Permalink
Post by Julien Jalon
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui
indique une application. C'est l'icône qui est trompeur, mais tout le
monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est
pas fiable pour déterminer le type d'un fichier.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Julien Jalon
2004-04-09 12:02:51 UTC
Permalink
Post by Patrick Stadelmann
Post by Julien Jalon
Bon, donc, après vérification, c'est bien un problème des meta-data...
Je ne crois pas non. A mon avis, le type du fichier est bien "APPL" qui
indique une application. C'est l'icône qui est trompeur, mais tout le
monde devrait savoir, au moins depuis le Système 7.0, qu'un icône n'est
pas fiable pour déterminer le type d'un fichier.
C'est ce que je dis : le type macos (APPL) du fichier est en cause et
absolument pas l'extension.
Cela signifie que ce virus est complètement innofensif sur les réseaux
P2P puisque ces méta-données ne sont pas transmises.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Patrick Stadelmann
2004-04-09 14:33:09 UTC
Permalink
Post by Julien Jalon
C'est ce que je dis : le type macos (APPL) du fichier est en cause et
absolument pas l'extension.
Ce qui fait croire que cette application n'est qu'un bête fichier MP3,
et qui lui confère donc son caractère de Trojan, c'est son icône et son
extension.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Patrick Stadelmann
2004-04-08 23:21:46 UTC
Permalink
Post by Julien Jalon
L'extension est toujours visible dans une appli de mail
Sauf que le .app n'est pas du tout nécessaire. La "proof of concept"
ci-dessous s'appelle bien "virus.mp3"
Post by Julien Jalon
Bien que mettre une sémantique dans le nom de fichier (l'extension, en
l'occurrence) soit une hérésie (un nom est... un nom), le système retenu
par Apple est sûrement le meilleur compromis. Il reste que l'UI devrait
toujours informer l'utilisateur si un fichier a une double extension.
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
Le virus est probablement dérivé de :
<blgl-***@news.bahnhof.se>

Le code se trouve bien dans un tag MP3. La ressource 'cfrg' indique
simplement au système que l'appli ne commence pas à l'offset 0 du data
fork (vu que là il y a un header MP3 valide) mais un peu plus loin.

On peut dire tout ce que l'on veut, être impressioné par le fait que
cette appli est lue sans problème par iTunes comme un fichier MP3, il
n'en reste pas moins que ce fichier est vu comme une application par le
Finder, et que donc la supercherie est détecable si on prend un minimum
de précaution : vérifier le type d'un fichier de manière plus fiable
qu'en se basant sur son icône (champ "Type" dans le Finder par exemple)
si l'on n'est pas certain de son origine.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Pierre-Alain Dorange
2004-04-09 07:59:25 UTC
Permalink
Si cette alerte est sérieuse c'est probablement en effet de là que ça
vient...
Post by Patrick Stadelmann
Le code se trouve bien dans un tag MP3.
Là je te suis pas, virus.mp3 est tout simplement une application, je ne
vois pas le rapport avec les tags ID3. le MP3 encapsulé fait parti du
camouflage mais ce n'est en aucun cas iTunes ou QuickTime Player qui
active le virus mais bien le fait de lancer le fichier depuis le Finder.

Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il
ne se cache même pas : c'est une application camouflé en pseudo MP3.

un moyen sur de se prémunir est peut être de définir depuis le Finder
que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes;
ainsi ça évitera les double-clics malheureux.
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Patrick Stadelmann
2004-04-09 08:19:04 UTC
Permalink
Post by Pierre-Alain Dorange
Là je te suis pas, virus.mp3 est tout simplement une application, je ne
vois pas le rapport avec les tags ID3.
La structure du fichier est du style :

partie donnée :

1 - Entête valide pour un fichier MP3
2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable
3 - Stream MP3

Ce qui fait que pour iTunes le fichier est un MP3 valide. Dans la partie
ressource, il est simplement indiqué à Mac OS X que l'exécution de
l'application doit commmencer à l'offset 2) et donc le fichier est vu
par le Finder et Mac OS X comme une application valide.
Post by Pierre-Alain Dorange
le MP3 encapsulé fait parti du
camouflage mais ce n'est en aucun cas iTunes ou QuickTime Player qui
active le virus mais bien le fait de lancer le fichier depuis le Finder.
Tout à fait. Ouvrir le fichier dans iTunes n'exécute pas le virus, mais
ne permet pas non plus de se rendre compte que le fichier n'est pas un
fichier MP3 mais une application.
Post by Pierre-Alain Dorange
Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il
ne se cache même pas : c'est une application camouflé en pseudo MP3.
Oui. C'est le code exécutable qui est caché dans un tag ID3, mais seul
il ne suffirait pas à faire un virus.
Post by Pierre-Alain Dorange
un moyen sur de se prémunir est peut être de définir depuis le Finder
que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes;
ainsi ça évitera les double-clics malheureux.
On ne peut pas le faire. L'association .xyz avec une application n'est
valable que pour les documents, pas pour les applications.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Pierre-Alain Dorange
2004-04-09 08:35:32 UTC
Permalink
Post by Patrick Stadelmann
Post by Pierre-Alain Dorange
Là je te suis pas, virus.mp3 est tout simplement une application, je ne
vois pas le rapport avec les tags ID3.
1 - Entête valide pour un fichier MP3
2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable
3 - Stream MP3
Yes j'avais compris (je suis ou du moins j'ai été développeur)...
Post by Patrick Stadelmann
[...]
Post by Pierre-Alain Dorange
Pour moi on ne peut pas dire que le virus se cache dans les tags ID3, il
ne se cache même pas : c'est une application camouflé en pseudo MP3.
Oui. C'est le code exécutable qui est caché dans un tag ID3, mais seul
il ne suffirait pas à faire un virus.
C'est là qu'il faut faire gaffe dans les explications. Car je vois sur
d'autres forulms des gens qui s'affole et commence a penser que iTunes
peut exécuter des virus... Attention aux explications.
Post by Patrick Stadelmann
Post by Pierre-Alain Dorange
un moyen sur de se prémunir est peut être de définir depuis le Finder
que tout les .mp3 s'ouvrent avec Virex ou équivalent au lieu de iTunes;
ainsi ça évitera les double-clics malheureux.
On ne peut pas le faire. L'association .xyz avec une application n'est
valable que pour les documents, pas pour les applications.
Super ZUT ;-)

Perso j'écoutes toujours mes MP3 chargé dans le finder avant de la
glisser dans iTunes et là du coup no problemo : le finder en colonne
m'indique bien "APPLICATION" et ne montre pas la preview audio...
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Patrick Stadelmann
2004-04-09 08:54:00 UTC
Permalink
Post by Pierre-Alain Dorange
C'est là qu'il faut faire gaffe dans les explications. Car je vois sur
d'autres forulms des gens qui s'affole et commence a penser que iTunes
peut exécuter des virus... Attention aux explications.
Alors répétons le encore une fois : le virus ne s'exécute que quand on
l'ouvre directement !
Post by Pierre-Alain Dorange
Perso j'écoutes toujours mes MP3 chargé dans le finder avant de la
glisser dans iTunes et là du coup no problemo : le finder en colonne
m'indique bien "APPLICATION" et ne montre pas la preview audio...
Oui, le champ "Type" est le seul moyen fiable de s'assurer qu'un fichier
n'est pas une application, et ce depuis toujours.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Pierre-Alain Dorange
2004-04-09 09:09:38 UTC
Permalink
Post by Patrick Stadelmann
Post by Pierre-Alain Dorange
Perso j'écoutes toujours mes MP3 chargé dans le finder avant de la
glisser dans iTunes et là du coup no problemo : le finder en colonne
m'indique bien "APPLICATION" et ne montre pas la preview audio...
Oui, le champ "Type" est le seul moyen fiable de s'assurer qu'un fichier
n'est pas une application, et ce depuis toujours.
Et c'est très facile a repérer dans un dossier en le présentant en
"liste" et trié par "type" (kind) on repère alors immédiatement les
applications...
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Julien Salort
2004-04-09 17:07:00 UTC
Permalink
Post by Patrick Stadelmann
1 - Entête valide pour un fichier MP3
2 - Tag ID3 de type inconnu par iTunes, en fait du code exécutable
3 - Stream MP3
Ce qui fait que pour iTunes le fichier est un MP3 valide. Dans la partie
ressource, il est simplement indiqué à Mac OS X que l'exécution de
l'application doit commmencer à l'offset 2) et donc le fichier est vu
par le Finder et Mac OS X comme une application valide.
Il y a une chose que je ne comprends pas. Je croyais que sous MacOS X,
il fallait avoir un flag x pour avoir le droit de s'exécuter.
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour
ajouter ledit flag aux fichiers téléchargés ?
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Patrick Stadelmann
2004-04-09 17:22:11 UTC
Permalink
Post by Julien Salort
Il y a une chose que je ne comprends pas. Je croyais que sous MacOS X,
il fallait avoir un flag x pour avoir le droit de s'exécuter.
Seulement pour les applis au format natif, ie Mach-O (celle que l'on
peut ouvrir directement via le Terminal, sans passer par la commande
"open").

Patrick
--
Patrick Stadelmann <***@unine.ch>
Éric Lévénez
2004-04-09 17:24:35 UTC
Permalink
Post by Julien Salort
Il y a une chose que je ne comprends pas.
On l'a tous remarqué.
Post by Julien Salort
Je croyais que sous MacOS X,
il fallait avoir un flag x pour avoir le droit de s'exécuter.
Cette application Carbon se lance parce qu'elle a le type APPL dans HFS.
Rien à voir avec les droits unix d'exécution.
Post by Julien Salort
Est-ce que les applications P2P, Mail, etc. sont assez stupides pour
ajouter ledit flag aux fichiers téléchargés ?
Mail utilise l'extension pour encoder le type mime au lieu de faire comme le
Finder. Sous Mail le cheval de Troie est donc vu comme une séquence
QuickTime audio mais avec un type/créateur HFS+ sauvegardé.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Julien Jalon
2004-04-09 12:04:18 UTC
Permalink
Post by Patrick Stadelmann
Post by Julien Jalon
L'extension est toujours visible dans une appli de mail
Sauf que le .app n'est pas du tout nécessaire. La "proof of concept"
ci-dessous s'appelle bien "virus.mp3"
Je parlais du système de typage par extension, cachée ou non. Là, on est
face au problème classique de la meta-donnée HFS "Type".
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Patrick Stadelmann
2004-04-09 14:34:29 UTC
Permalink
Post by Julien Jalon
Je parlais du système de typage par extension, cachée ou non. Là, on est
face au problème classique de la meta-donnée HFS "Type".
Les meta-données HFS sont des solutions, pas des problèmes !

Patrick
--
Patrick Stadelmann <***@unine.ch>
Éric Lévénez
2004-04-09 15:12:37 UTC
Permalink
Le 9/04/04 16:34, dans
Post by Patrick Stadelmann
Post by Julien Jalon
Je parlais du système de typage par extension, cachée ou non. Là, on est
face au problème classique de la meta-donnée HFS "Type".
Les meta-données HFS sont des solutions, pas des problèmes !
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Julien Salort
2004-04-09 17:06:59 UTC
Permalink
Post by Éric Lévénez
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le
problème.

Le finder n'aurait pas considéré comme application un fichier n'ayant
pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un
fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.

Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas
exister.
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur
autre chose que les types HFS.
--
R: Parce que ça renverse bêtement l'ordre naturel de lecture!
Q: Mais pourquoi citer en fin d'article est-il si effroyable?
R: Citer en fin d'article
Q: Quelle est la chose la plus désagréable sur les groupes de news?
Éric Lévénez
2004-04-09 17:13:59 UTC
Permalink
Post by Julien Salort
Post by Éric Lévénez
Les meta-données HFS sont des problèmes ainsi que des emmerdements !
S'il n'y avait que les méta-données HFS, il n'y aurait pas eu le
problème.
Non. Mauvaise analyse.
Post by Julien Salort
Le finder n'aurait pas considéré comme application un fichier n'ayant
pas le type 'APPL' et iTunes n'aurait jamais considéré comme mp3 un
fichiant n'ayant pas le type 'MP3 ' ou 'MPEG'.
Le Finder considère que l'application est une application et la lance comme
une application. C'est seulement après le lancement que cette application
parle à iTunes, mais iTunes n'a rien à voir là dedans, cela aurait pu être
une autre application ou aucune application ou plusieurs applications.
Post by Julien Salort
Un fichier ne pouvant avoir deux types HFS, le problème ne peut pas
exister.
Tu n'as pas compris comment marche le cheval de Troie.
Post by Julien Salort
Si le problème existe c'est parce qu'iTunes et le Finder se basent sur
autre chose que les types HFS.
Et bien non, iTunes n'a rien à voir là dedans et le Finder se base sur le
type HFS pour lancer ce cheval de Troie.

Essayes encore.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Éric Lévénez
2004-04-09 06:09:59 UTC
Permalink
Post by Julien Jalon
Post by Éric Lévénez
C'est pas vraiment nouveau comme truc. Avec Mac OS X et sa gestion des
extensions cachées, des type/créateurs cachés, des icônes modifiables, toute
icône montrant un type de fichier peut être en fait un tout autre type de
fichier. Si Apple abandonnait les types/créateurs, les extensions cachés et
l'icône d'un document d'une application lancerait cette application.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Arf, tu recommences à dire n'importe quoi, mon cher ami...
Tu as vu comment tu quotes mon cher ami ?
Post by Julien Jalon
L'extension est toujours visible dans une appli de mail (le fait que
l'extension soit cachée étant une propriété propre à un fichier stocké
sur un file-system HFS.
Il y a 3 problèmes : le type mime, l'extension du nom du fichier et le
type/créateur. Toutes ces infos peuvent être contradictoire. Sur Windows
c'est un problème bien connu des virus.

Les applications CFM n'ont pas forcément d'extensions .app, et c'est bien
dommage.
Post by Julien Jalon
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les
types/créateurs et avec l'obligation d'utiliser et de voir les extensions,
cela ne serait pas possible.

Intego ne fait que se faire mousser sur un problème vieux comme le monde sur
Mac OS.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Pierre-Alain Dorange
2004-04-09 07:59:25 UTC
Permalink
Post by Éric Lévénez
Intego ne fait que se faire mousser sur un problème vieux comme le monde sur
Mac OS.
C'est bien mon impression aussi; d'autant que cet exemple de MP3
camouflé en application a été discuté ici même il y a 2 jours !
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Julien Jalon
2004-04-09 12:05:38 UTC
Permalink
Post by Éric Lévénez
Post by Julien Jalon
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les
types/créateurs et avec l'obligation d'utiliser et de voir les extensions,
cela ne serait pas possible.
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de
les voir ou pas, ça n'a aucun intérêt.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Olivier Goldberg
2004-04-09 12:19:42 UTC
Permalink
Post by Julien Jalon
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de
les voir ou pas, ça n'a aucun intérêt.
Ben si. Si tu ne vois pas l'extension, tu peux aisément prendre un
fichier musique_de_film.app pour de la musique. Pire si il s'appelle
musique.mp3.app, vu que là, on verra le /mp3, ce qui ne fera tiquer que
les utilisateurs-pas-lambda, les autres se disant "ah, un MP3".
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Éric Lévénez
2004-04-09 12:38:43 UTC
Permalink
Post by Julien Jalon
Post by Éric Lévénez
Post by Julien Jalon
Pour finir, le communiqué d'Intego semble mentionner que c'est dans un
tag ID3 que le truc se loge... ça m'étonne un peu. Donc soit c'est
n'importe quoi, soit c'est juste un bug de iTunes.
Non, c'est un problème avec les types/créateur/extension. Sans les
types/créateurs et avec l'obligation d'utiliser et de voir les extensions,
cela ne serait pas possible.
Tu veux dire "avec l'obligation d'utiliser les extensions". Le fait de
les voir ou pas, ça n'a aucun intérêt.
Si car cela permet de voir le type de document et donc de ne pas se fier à
l'icône (en particulier pour les applications). Si tu masques l'extension tu
retombes dans les problèmes de virus Windows (doubles extensions...) ou
justement sur les chevaux de Troie liés à une icône trompeuse. Cacher des
informations a toujours été une façon dangereuse de travailler.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Patrick Stadelmann
2004-04-08 21:34:18 UTC
Permalink
Post by Olivier Goldberg
Intego VirusBarrier eradicates this Trojan horse, and Intego remains
diligent to ensure that VirusBarrier will also eradicate any future
viruses that may try to exploit this same technique.
Technique vielle comme le monde (informatique), cf par exemple :
http://www.macintouch.com/hotlinetrojan.html#hacktips daté de 1998.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Mac et Kate
2004-04-09 09:16:55 UTC
Permalink
Post by Olivier Goldberg
Bonsoir,
ci-après un copier-coller (en anglais) du communiqué d'Intego répercuté
sur MacBidouille.
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
l'histoire ne dit pas si on le reçoit en PJ avec un mail ou bien si on
peut le trouver mélangé à d'autres MP3 sur Limewire par exemple.

ce que je ne comprends pas c'est qu'il a bien un nom ce vrai faux
fichier MP3 ? un morceau de Lara Fabian ou Francis Lalanne par exemple
non ?
--
_ _ .-'--'-.
(.)(.)/ \
/@@ ;Des Souris et des Pommes
o_\\-mm-......-mm`~~~~~~~~~~~~~~~~~~~~~~~~`
patpro ~ patrick proniewski
2004-04-09 09:22:40 UTC
Permalink
Post by Mac et Kate
l'histoire ne dit pas si on le reçoit en PJ avec un mail ou bien si on
peut le trouver mélangé à d'autres MP3 sur Limewire par exemple.
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
d'etre encodé en macbinary (par exemple) pour rester fonctionnel.
Quant aux gens qui récuperent de la vérole sur le peer2peer, c'est bien
fait pour leur tronche.
Post by Mac et Kate
ce que je ne comprends pas c'est qu'il a bien un nom ce vrai faux
fichier MP3 ? un morceau de Lara Fabian ou Francis Lalanne par exemple
non ?
non, parce que si il s'affichait comme du lara fabian ou du francis
lalanne personne ne chopperait le virus.


patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Mac et Kate
2004-04-09 09:36:47 UTC
Permalink
Post by patpro ~ patrick proniewski
Quant aux gens qui récuperent de la vérole sur le peer2peer, c'est bien
fait pour leur tronche.
mais bien sûr... parce que toi tu achètes tous tes MP3 bien sûr...

et la marmotte elle met la vache dans le papier d'alu...
--
_ _ .-'--'-.
(.)(.)/ \
/@@ ;Des Souris et des Pommes
o_\\-mm-......-mm`~~~~~~~~~~~~~~~~~~~~~~~~`
patpro ~ patrick proniewski
2004-04-09 10:58:45 UTC
Permalink
Post by Mac et Kate
Post by patpro ~ patrick proniewski
Quant aux gens qui récuperent de la vérole sur le peer2peer, c'est bien
fait pour leur tronche.
mais bien sûr... parce que toi tu achètes tous tes MP3 bien sûr...
j'achete pas de mp3, j'achete des CD, et quand le MusicStore Apple sera
dispo en france, j'acheterai enfin avec plaisir des mp3.
Post by Mac et Kate
et la marmotte elle met la vache dans le papier d'alu...
...et je t'emmerde toi et tes allusions. Je ne récupère JAMAIS de
musique en P2P. Garde tes proces d'intention pour les autres, c'est un
peu trop facile de laver sa conscience en se disant que "tout le monde
le fait".


patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Mac et Kate
2004-04-09 15:23:03 UTC
Permalink
Post by patpro ~ patrick proniewski
j'achete pas de mp3, j'achete des CD, et quand le MusicStore Apple sera
dispo en france, j'acheterai enfin avec plaisir des mp3.
et bien moi je n'achète pas de CD. le dernier en date que j'ai voulu
m'acheter c'était celui des bests de Peter Gabriel qui n'est lisible ni
sur Mac ni sur PC et comme je n'ai que ça pour écouter mes CD audio le
pb est réglé. Et ça n'est pas ça qui va m'empêcher d'écouter de la
musique. D'ailleurs si tu t'informais un peu mieux tu saurais qu'un
procès vient d'être fait et qu'il a été gagné il y a peu et la copie de
morceau de musique n'a pas été jugée illégale car considérée comme copie
à titre privée tout comme les photocopies que l'on peut faire de
bouquins quand on va dans une bibliothèque.
Post by patpro ~ patrick proniewski
...et je t'emmerde toi et tes allusions.
tout pareil mais à la puissance 10
--
_ _ .-'--'-.
(.)(.)/ \
/@@ ;Des Souris et des Pommes
o_\\-mm-......-mm`~~~~~~~~~~~~~~~~~~~~~~~~`
patpro ~ patrick proniewski
2004-04-09 15:35:01 UTC
Permalink
Post by Mac et Kate
et bien moi je n'achète pas de CD. le dernier en date que j'ai voulu
m'acheter c'était celui des bests de Peter Gabriel qui n'est lisible ni
sur Mac ni sur PC et comme je n'ai que ça pour écouter mes CD audio le
pb est réglé. Et ça n'est pas ça qui va m'empêcher d'écouter de la
musique.
36 15...
Post by Mac et Kate
D'ailleurs si tu t'informais un peu mieux tu saurais qu'un
proces d'intention encore. je sais pas quelle idée tu te fais de ma vie
et de l'état de mes connaissances, mais je te conseille de ne pas en
faire étalage ici, parce que pour le moment c'est le zéro pointé, t'es à
coté de la plaque.
Plutot donc que de t'occuper des autres, tu ferais bien de t'occuper de
toi même.


patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Mac et Kate
2004-04-09 09:38:37 UTC
Permalink
Post by patpro ~ patrick proniewski
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
un MP3 ça fait quand même entre 2 et 4 Mo ça ferait lourd pour une PJ,
le plupart du temps il ne doit même pas pouvoir passer.
--
_ _ .-'--'-.
(.)(.)/ \
/@@ ;Des Souris et des Pommes
o_\\-mm-......-mm`~~~~~~~~~~~~~~~~~~~~~~~~`
patpro ~ patrick proniewski
2004-04-09 10:59:15 UTC
Permalink
Post by Mac et Kate
Post by patpro ~ patrick proniewski
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
un MP3 ça fait quand même entre 2 et 4 Mo ça ferait lourd pour une PJ,
le plupart du temps il ne doit même pas pouvoir passer.
n'importe quel compte mail qui se respecte accepte 5 Mo.

patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Jean Prudhomme
2004-04-09 10:55:05 UTC
Permalink
Dans son message envoyé le 09/04/2004 11:22, patpro ~ patrick proniewski
Post by patpro ~ patrick proniewski
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
d'etre encodé en macbinary (par exemple) pour rester fonctionnel.
Questions subsidiaires:

Si je place ce fichier litigieux dans mon Partage Web personnel activé et
que ledit fichier est téléchargé par un Mac User, sera-t-il encore
fonctionnel à l'arrivée (le fichier) ?

Idem si je le place sur mon iDisk à .Mac ?
--
***@skynet.be
patpro ~ patrick proniewski
2004-04-09 11:04:00 UTC
Permalink
Post by Jean Prudhomme
Si je place ce fichier litigieux dans mon Partage Web personnel activé et
que ledit fichier est téléchargé par un Mac User, sera-t-il encore
fonctionnel à l'arrivée (le fichier) ?
Idem si je le place sur mon iDisk à .Mac ?
faut essayer :)
tu peux faire le teste avec n'importe quelle application Carbon renommée
en truc.mp3 , si elle survit, alors le virus potentiel survivra très
certainement.

patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Julien Jalon
2004-04-09 12:18:34 UTC
Permalink
Post by Jean Prudhomme
Dans son message envoyé le 09/04/2004 11:22, patpro ~ patrick proniewski
Post by patpro ~ patrick proniewski
y'a de grandes chances qu'il soit transmis par mail, car il a besoin
d'etre encodé en macbinary (par exemple) pour rester fonctionnel.
Si je place ce fichier litigieux dans mon Partage Web personnel activé et
que ledit fichier est téléchargé par un Mac User, sera-t-il encore
fonctionnel à l'arrivée (le fichier) ?
Non, si tu ne lui fais pas subir un traitement avant (le mettre dans une
archive). Le fichier devient totallement inopérant.
Faire un cp dans le terminal suffit à rendre le virus inopérant.
Post by Jean Prudhomme
Idem si je le place sur mon iDisk à .Mac ?
Le problème n'est pas où tu le mets mais surtout comment la personne va
récupérer le fichier... si elle y accède par le Finder, oui, elle aura
le problème, si elle accède à ton iDisk avec un vulgaire "browser"
WebDAV ou carrément un navigateur Web, non, elle n'aura pas le problème.
--
Julien Jalon <http://www.julien-jalon.org/>
Ce que contient ce message n'exprime que mon opinion et non celle de
mon employeur.
Patrick Stadelmann
2004-04-09 14:25:47 UTC
Permalink
Post by Julien Jalon
Non, si tu ne lui fais pas subir un traitement avant (le mettre dans une
archive). Le fichier devient totallement inopérant.
Pas forcément, de Mac à Mac il est possible que le fichier soit encodé /
décodé de manière transparente lors du transfert. Ca dépend du serveur
et du clients utilisés.

Patrick
--
Patrick Stadelmann <***@unine.ch>
Woa
2004-04-09 10:57:43 UTC
Permalink
Y a un truc qui m'inquiète,
j'ai un fichier qui s'appelle
"Guide de l'utilisateur iPod"

L'icone marque que c'est un doc de type PDF, mais le nom et l'extension
s'appelle iPod Users Guide.app ???

Ca ca veut dire quoi ?
Quand je clique c'est Apercu qui est utilisé , mais quand je fais
"ouvrir fichier d'apercu, je ne peux pas le selectionner ??

C'est quoi ce bin's ?
Saïd
2004-04-09 11:12:17 UTC
Permalink
Post by Woa
Y a un truc qui m'inquiète,
j'ai un fichier qui s'appelle
"Guide de l'utilisateur iPod"
L'icone marque que c'est un doc de type PDF, mais le nom et l'extension
s'appelle iPod Users Guide.app ???
Ou l'as-tu trouvé.
Post by Woa
Ca ca veut dire quoi ?
Quand je clique c'est Apercu qui est utilisé , mais quand je fais
"ouvrir fichier d'apercu, je ne peux pas le selectionner ??
C'est quoi ce bin's ?
Je ne sais pas, mais ca m'a l'air louche. En tout cas c'est comme ca
qu'opere le virus decrit dans ce fil.
--
Saïd.
Woa
2004-04-09 15:38:17 UTC
Permalink
Ben chez Apple , mais je sais plus ou:

Y a marqué que c'est le logiciel ReadIt version 1.0 Cporyright 2001
Apple Computer . SH

Connais pas.
Post by Saïd
Post by Woa
Y a un truc qui m'inquiète,
j'ai un fichier qui s'appelle
"Guide de l'utilisateur iPod"
L'icone marque que c'est un doc de type PDF, mais le nom et l'extension
s'appelle iPod Users Guide.app ???
Ou l'as-tu trouvé.
Post by Woa
Ca ca veut dire quoi ?
Quand je clique c'est Apercu qui est utilisé , mais quand je fais
"ouvrir fichier d'apercu, je ne peux pas le selectionner ??
C'est quoi ce bin's ?
Je ne sais pas, mais ca m'a l'air louche. En tout cas c'est comme ca
qu'opere le virus decrit dans ce fil.
Fra
2004-04-09 11:09:10 UTC
Permalink
Post by Olivier Goldberg
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Quelqu'un l'a déjà vu ce virus ? Il existe réellement ? ...
Post by Olivier Goldberg
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Faut-il y voir un lien avec une enfilade très récente sur
news://fr.comp.os.mac-os.x?
[j'ai l'impression]
Post by Olivier Goldberg
INTEGO SECURITY ALERT
MP3Concept
... où c'est juste un "concept" ???
Post by Olivier Goldberg
Paris, France: 4:15pm, April 8, 2004 - Intego, the Macintosh security
specialist, has just released updated virus definitions for Intego
VirusBarrier to protect Mac users against the first Trojan horse that
affects Mac OS X. This Trojan horse, MP3Concept (MP3Virus.Gen),
exploits a weakness in Mac OS X where applications can appear to be
other types of files.
Ca n'a rien de spécifique à OS X.
Post by Olivier Goldberg
The Trojan horse's code is encapsulated in the ID3 tag of an MP3
(digital music) file. This code is in reality a hidden application that
can run on any Macintosh computer running Mac OS X.
J'ai pas suivi le thread en question jusqu'au bout MAIS s'agit-il d'une
appli 'maquillée' en mp3 ou d'un mp3 dont les ID3 tags seraient
executable ? (ce qui m'étonne)
Post by Olivier Goldberg
[...]
Due to the use of this technique, users can no longer safely
double-click MP3 files in Mac OS X. This same technique could be used
with JPEG and GIF files, though no such cases of infected graphic files
have yet been seen.
C'est bizarre mais j'ai le sentiment que ce virus n'existe pas. Juste
potentiellement et que Intego cherche à se faire une grosse pub en
disant qu'il on découvert le premier virus OS X !...
--
Fra
Marc Robert
2004-04-09 11:25:42 UTC
Permalink
dans l'article 1gbz8as.69x61i1c6ocp4N%***@alussinan.org, Fra à
***@alussinan.org a écrit le 9/04/04 13:09 :

[...]
Post by Fra
Post by Olivier Goldberg
INTEGO SECURITY ALERT
MP3Concept
... où c'est juste un "concept" ???
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je
suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que
j'ai pris connaissnce de ce thread.

Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc
contenir la protection contre ce virus MP3concept, s'il s'agit de son nom.
J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout
s'est installé normalement.

Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne
propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour
trojan horse, etc. Et je viens de refaire toute la liste, item par item...

Entendons nous bien : je n'accuse personne de quoi que ce soit, et
VirusBarrier détecte bien les (rares) virus Macros susceptibles de me
contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce
que je veux bien croire, comment puis-je le voir ?
Fra
2004-04-09 11:32:14 UTC
Permalink
Post by Marc Robert
Quelque chose m'étonne : utilisateur satisfait de Virus Barrier d'Intego, je
suis allé vérifier (par NetUpdate) les nouvelles définitions virales dès que
j'ai pris connaissnce de ce thread.
Une MAJ avait été proposée le 1/4, une autre l'est le 8/4, et doit donc
contenir la protection contre ce virus MP3concept, s'il s'agit de son nom.
J'avais déjà téléchargé la première, j'ai téléchargé la seconde, et tout
s'est installé normalement.
Mais VirusBarrier (bouton Netupdate, onglet "Définitions de virus") ne
propose aucune entrée pour "cheval de Troie" ni pour MP3Concept, ni pour
trojan horse, etc. Et je viens de refaire toute la liste, item par item...
Entendons nous bien : je n'accuse personne de quoi que ce soit [...]
mais il est permis d'avoir des doutes sur l'honnêteté de cette boite.
Pour moi c'est un gros coup de pub (mais je peux me tromper).
--
Fra
Pierre-Alain Dorange
2004-04-09 12:28:40 UTC
Permalink
Entendons nous bien : je n'accuse personne de quoi que ce soit, et
VirusBarrier détecte bien les (rares) virus Macros susceptibles de me
contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce
que je veux bien croire, comment puis-je le voir ?
Intego a nommé ce virus officiellement "MP3Virus.Gen"; MP3Concept c'est
son nom commercial ;-)

Voir : <http://www.intego.com/news/pr40.html>

Il y a eut très récemment des discussions sur usenet concernant ce type
le trojan potentiel et un des utilisateurs à publier dans ce fil un
"faux-virus" nommé virus.mp3 qu'il a encapsulé dans un .sit (afin que la
partie ressource soit transportée); tu peux trouver ce fichier (voir
lien ci-dessous) et le tester avec Virus Barrier par exemple :

<http://www.scoop.se/~blgl/virus.mp3.sit>

Ne le lance pas quand même dès fois qu'il s'agirait d'un vrai virus ;-)
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Marc Robert
2004-04-09 12:45:11 UTC
Permalink
dans l'article 1gbzc1z.1usvogb1o7u24mN%***@pas-de-pub-merci.mac.com,
Pierre-Alain Dorange à ***@pas-de-pub-merci.mac.com a écrit le 9/04/04
14:28 :

[..]
Post by Pierre-Alain Dorange
Intego a nommé ce virus officiellement "MP3Virus.Gen"; MP3Concept c'est
son nom commercial ;-)
Pas plus de "MP3Virus.Gen" que de "MP3Concept" dans la fameuse liste...
Post by Pierre-Alain Dorange
Ne le lance pas quand même dès fois qu'il s'agirait d'un vrai virus ;-)
J'archive, au cas où ;-)
Olivier Goldberg
2004-04-09 12:59:26 UTC
Permalink
Post by Pierre-Alain Dorange
Il y a eut très récemment des discussions sur usenet concernant ce type
le trojan potentiel et un des utilisateurs à publier dans ce fil un
"faux-virus" nommé virus.mp3 qu'il a encapsulé dans un .sit
Avec un Virex à jour, il n'est pas détecté:

Summary report on /Users/olivier/Desktop/virus.mp3
File(s)
Total files: ........... 1
Clean: ................. 1
Not scanned: ........... 0
Possibly Infected: ..... 0
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Pierre-Alain Dorange
2004-04-09 13:17:47 UTC
Permalink
Post by Pierre-Alain Dorange
Il y a eut très récemment des discussions sur usenet concernant ce type
le trojan potentiel et un des utilisateurs à publier dans ce fil un
"faux-virus" nommé virus.mp3 qu'il a encapsulé dans un .sit
Ce fichier n'est pas un virus, juste une démo de ce que pourrait être un
exemple de trojan pour OSX.

Suite a l'alerte en cours, on peux supposer que dans les jours a venir
nous aurons la confirmation ou l'infirmation de cette alerte
(MP3Concept) par les autres éditeur d'anti-virus Mac et qu'il éditeront
une mise à jour pour alerter à l'avenir de ce type de fichier.

Mais j'ai comme l'impression (je peux me tromper) que Intego a lu la
discussion sur usenet (comp.sys.mac.programmer.misc) sur cette
possibilité a interprété la démo nomme par son auteur "proof of concept"
comme un vrai virus et a déliré sur le sujet (destruction de fichiers,
envoir d'email, infection de JPG/GIF etc...).
J'espère que je me trompe pour eux, mais j'espère que j'ai raison pour
mon Mac ;-)
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Éric Lévénez
2004-04-09 13:50:35 UTC
Permalink
Le 9/04/04 15:17, dans
Post by Pierre-Alain Dorange
Mais j'ai comme l'impression (je peux me tromper) que Intego a lu la
discussion sur usenet (comp.sys.mac.programmer.misc) sur cette
possibilité a interprété la démo nomme par son auteur "proof of concept"
comme un vrai virus et a déliré sur le sujet (destruction de fichiers,
envoir d'email, infection de JPG/GIF etc...).
Cela fait des années que ce problème est connu sur Mac OS. Tout le monde en
a déjà parlé il y a des années. Je me souviens en avoir parlé il y a 3 ans
en parlant de cette gestion type/créateur et sur les icônes personnalisés.
Les macounets d'alors ne voulant pas changer leurs mauvaises habitudes,
voilà où l'on en est aujourd'hui.

C'est désolant de voir que pour être le premier à trouver un virus sur Mac
OS X ils confondent ainsi tout et mélangent virus et cheval de Troie. Les
autres éditeurs d'antivirus vont bien sûr aller dans le même sens pour ne
pas lâcher un marché très juteux des logiciels antivirus. Quand on fait des
recherches chez ces éditeurs sur les virus Mac OS X, on trouve plein de
choses floues toujours liées à Mac OS < X, mais présentées sous la forme :
"il y a plein de virus sur toutes les versions de Mac OS, notre soft payant
vous est indispensable!". Maintenant ils seront tous content :-(
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Pierre-Alain Dorange
2004-04-09 14:40:13 UTC
Permalink
Post by Éric Lévénez
C'est désolant de voir que pour être le premier à trouver un virus sur Mac
OS X ils confondent ainsi tout et mélangent virus et cheval de Troie. Les
autres éditeurs d'antivirus vont bien sûr aller dans le même sens pour ne
pas lâcher un marché très juteux des logiciels antivirus. Quand on fait des
recherches chez ces éditeurs sur les virus Mac OS X, on trouve plein de
"il y a plein de virus sur toutes les versions de Mac OS, notre soft payant
vous est indispensable!". Maintenant ils seront tous content :-(
Ne généralise pas, ni Norton, ni Network Associaté n'ont corroborré
quoique ce soit pour le moment...
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Fra
2004-04-09 16:30:45 UTC
Permalink
Post by Éric Lévénez
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
--
Fra
Éric Lévénez
2004-04-09 16:43:08 UTC
Permalink
Post by Fra
Post by Éric Lévénez
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée,
on peut le télécharger un peu partout maintenant. Mais c'est une application
"normale" vue comme telle par le Finder et donc par Mac OS X. Elle utilise
les ressources HFS+ ainsi que les meta-données HFS+. Cette application ne
peut circuler simplement sur Internet. Il lui faut des applications comme
Mail entre 2 Macounets ou un format d'archivage compatible HFS+. Le seul
problème de cette application est son icône qui trompe le Macounet qui va
cliquer dessus sans réfléchir.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Fra
2004-04-09 16:46:01 UTC
Permalink
Post by Éric Lévénez
Post by Fra
Post by Éric Lévénez
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée,
on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux.
--
Fra
Éric Lévénez
2004-04-09 16:52:51 UTC
Permalink
Post by Fra
Post by Éric Lévénez
Post by Fra
Post by Éric Lévénez
voilà où l'on en est aujourd'hui
pour le moment on y est pas (existence d'un virus non prouvée)
Ce n'est pas un virus, mais un cheval de Troie. Son existence est prouvée,
on peut le télécharger un peu partout maintenant.
Pour le moment ce n'est qu'un concept. Il ne fait rien de dangereux.
Ce n'est pas un concept. Le programme existe. Il ne fait rien de dangereux
en effet, mais demain tu verras tous les boutonneux du monde Mac se
réveiller et s'amuser avec les types/créateurs/icônes d'HFS+...
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Damien Manoeuvre
2004-04-09 17:18:35 UTC
Permalink
Le seul problème de cette application est son icône qui trompe le
Macounet qui va cliquer dessus sans réfléchir.
Il ne faut pas grand chose pour "tromper" l'utilisateur moyen.
Il y a des gens qui trouvent normal de cliquer sur un fichier .pif ou
.exe envoyé par un inconnu.
--
D.Manoeuvre
Jean Prudhomme
2004-04-09 15:15:05 UTC
Permalink
Dans son message envoyé le 09/04/2004 14:28, Pierre-Alain Dorange
Post by Pierre-Alain Dorange
Entendons nous bien : je n'accuse personne de quoi que ce soit, et
VirusBarrier détecte bien les (rares) virus Macros susceptibles de me
contaminer. Mais s'ils ont intégré la protection contre ce nouveau virus, ce
que je veux bien croire, comment puis-je le voir ?
Intego a nommé ce virus officiellement "MP3Virus.Gen"; MP3Concept c'est
son nom commercial ;-)
Voir : <http://www.intego.com/news/pr40.html>
Il y a eut très récemment des discussions sur usenet concernant ce type
le trojan potentiel et un des utilisateurs à publier dans ce fil un
"faux-virus" nommé virus.mp3 qu'il a encapsulé dans un .sit (afin que la
partie ressource soit transportée); tu peux trouver ce fichier (voir
<http://www.scoop.se/~blgl/virus.mp3.sit>
Ne le lance pas quand même dès fois qu'il s'agirait d'un vrai virus ;-)
Je n'ai pas pu résister d'autant plus que je dispose d'une sauvegarde
réalisée ce matin.

Après téléchargement et décompactage de virus.mp3.sit, je constate deux
choses:

- l'icône de de virus.mp3 représente celle d'une application générique, peu
importe le mode de vue (par icônes, par liste, par colonnes);

- le fichier étant déposé sur l'icône de File Buddy 7.6 montre une plage
Data Fork de 38.996 octets et une plage Resource Fork de 47.125 octets
alors que, habituellement, les vrais fichiers mp3 n'ont rien en Resource
Fork.

Au double-cliquage, Norton AutoProtect résidant étant activé (et dont les
définitions de virus furent mises à jour le 06/04/04) ne s'interpose pas.
Par contre, iTunes joue le son et, en même temps, un message s'affiche.
Celui-ci stipule, je cite, "Yes, this is an application. (So Waht is your
iTunes playing right now ?)". A cette étape, je suppose que je me suis fait
avoir et qu'il est trop tard ?

Pour info car je ne suis pas à même d'en tirer des conclusions.

Cordialement,
Jean
--
________/J/e/a/n/_______________/P/r/u/d/h/o/m/m/e/___________
Dans chaque église, il y a toujours quelque chose qui cloche.
[J. Prévert]
--
***@skynet.be
Olivier Goldberg
2004-04-09 15:21:07 UTC
Permalink
Post by Jean Prudhomme
A cette étape, je suppose que je me suis fait
avoir et qu'il est trop tard ?
Oui :-)
Chez moi, j'ai aussi testé (sur un compte limité, quand même), et
l'icône est bien une icône fichier MP3, mais le type dans la fenêtre
d'infos est (logique) bien application.
Post by Jean Prudhomme
Pour info car je ne suis pas à même d'en tirer des conclusions.
Ben c'est que si le type qui a écrit ça pour montrer avait, au lieu de
mettre un boîte de dialogue, mis un shell script (par exemple) du genre
rm -r ~/Documents , eh bien tu aurais perdu tout ton dossier documents.
Mais ça ne permet en effet pas tel quel de bidouiller les couches
dangereuses de l'OS (qui nécessitent un mot de passe admin, ce qu'il
faudrait être abruti pour fournir à un MP3).
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Pierre-Alain Dorange
2004-04-09 15:24:42 UTC
Permalink
Post by Jean Prudhomme
Après téléchargement et décompactage de virus.mp3.sit, je constate deux
- l'icône de de virus.mp3 représente celle d'une application générique, peu
importe le mode de vue (par icônes, par liste, par colonnes);
normalement c'est plutot un icone iTunes MP3...
Post by Jean Prudhomme
- le fichier étant déposé sur l'icône de File Buddy™ 7.6 montre une plage
Data Fork de 38.996 octets et une plage Resource Fork de 47.125 octets
alors que, habituellement, les vrais fichiers mp3 n'ont rien en Resource
Fork.
normal (la resssource MP3 ne passe pas directement au travers d'email ou
du web, il faut l'encapsuler en SIT par exemple).
Post by Jean Prudhomme
Au double-cliquage, Norton AutoProtect résidant étant activé (et dont les
définitions de virus furent mises à jour le 06/04/04) ne s'interpose pas.
Par contre, iTunes joue le son et, en même temps, un message s'affiche.
Celui-ci stipule, je cite, "Yes, this is an application. (So Waht is your
iTunes playing right now ?)". A cette étape, je suppose que je me suis fait
avoir et qu'il est trop tard ?
Oui si c'était un virus tu te serais fais avoir...
Comme c'est un logiciel (type application), en double-cliquant dessus il
se lance, sa premier étape va être de lancer iTunes avec lui même en
paramètre pour que du son soit joué (afin de tromper l'utilisateur qui
crois que iTunes c'est lancé a cause du MP3, ce qui n'est pas vrai ici).
le message qui apparait est ce que fait ce faux-virus : juste te
prevenir.

Pour te prémunir (en attendant autre chose), une visu de ce fichier dans
le finder en mode liste (tu noteras alors que c'est une application
(colonne type) pas un MP3), ensuite ne pas double cliquer mais glisser
le fichier sur iTunes : là il se jouera (marche aussi avec QT Player)
mais tu n'auras pas le message (donc pas le virus si c'était un vrai)
car le logiciel n'a pas été lancé, c'est juste iTunes qui fait son
boullot de base : jouer le MP3 contenu, sans aucun autre effet...
--
Pierre-Alain Dorange

Vidéo, DV et QuickTime pour Mac <www.garage-video.fr.st>
Clarus, the DogCow <www.clarus.mac-fan.com>
Éric Lévénez
2004-04-09 15:36:57 UTC
Permalink
Post by Jean Prudhomme
Après téléchargement et décompactage de virus.mp3.sit, je constate deux
- l'icône de de virus.mp3 représente celle d'une application générique, peu
importe le mode de vue (par icônes, par liste, par colonnes);
HAL3:~/Desktop eric$ /Developer/Tools/GetFileInfo virus.mp3
file: "virus.mp3"
type: "APPL"
creator: "vMP3"
attributes: avbstclInmed
created: 03/20/2004 00:45:12
modified: 03/21/2004 01:49:04

Le fait que le Finder dise que c'est une application, c'est à cause du type
APPL caché dans HFS+ et qui a été transportée par la compression SIT, mais
qui aurait pu l'être par un mailer entre 2 mac (mais qui n'aurait pas passé
la barrière d'un mailer unix "normal" ou d'un mailer Windows). Et donc pas
possible d'avoir ce fichier virus.mp3 par http, ftp ou tout autre protocole.
Il faut un soft ou un empaquetage qui connaisse HFS.

Saloperie de meta-data HFS !!!
Post by Jean Prudhomme
- le fichier étant déposé sur l'icône de File Buddy 7.6 montre une plage
Data Fork de 38.996 octets et une plage Resource Fork de 47.125 octets
alors que, habituellement, les vrais fichiers mp3 n'ont rien en Resource
Fork.
Sans avoir d'outils spécifiques :

HAL3:~/Desktop eric$ ll virus.mp3 virus.mp3/rsrc
-rw-r--r-- 1 eric eric 38996 21 Mar 01:49 virus.mp3
-rw-r--r-- 1 eric eric 47125 21 Mar 01:49 virus.mp3/rsrc

Saloperie de ressources !!!
Post by Jean Prudhomme
Au double-cliquage, Norton AutoProtect résidant étant activé (et dont les
définitions de virus furent mises à jour le 06/04/04) ne s'interpose pas.
Par contre, iTunes joue le son et, en même temps, un message s'affiche.
Celui-ci stipule, je cite, "Yes, this is an application. (So Waht is your
iTunes playing right now ?)". A cette étape, je suppose que je me suis fait
avoir et qu'il est trop tard ?
Je n'ai pas essayé de le lancer, mais j'aurais plutôt dit que l'application
"virus.mp3" se lance et qu'elle lance après iTunes pour faire croire qu'il y
a un lien entre le nom ".mp3" et l'action effectuée. Ce cheval de Troie
aurait aussi pu lancer un autre programme qu'iTunes.
--
Éric Lévénez -- <http://www.levenez.com/>
Unix is not only an OS, it's a way of life.
Patrick Stadelmann
2004-04-09 15:46:06 UTC
Permalink
Post by Éric Lévénez
Saloperie de meta-data HFS !!!
Mouarf !
Post by Éric Lévénez
Saloperie de ressources !!!
Remouarf !
Post by Éric Lévénez
Je n'ai pas essayé de le lancer, mais j'aurais plutôt dit que l'application
"virus.mp3" se lance et qu'elle lance après iTunes pour faire croire qu'il y
a un lien entre le nom ".mp3" et l'action effectuée.
C'est ce qui se passe. Mais bon l'effet est ruiné par l'icône MP3 qui
sautille dans le Dock !

Patrick
--
Patrick Stadelmann <***@unine.ch>
patpro ~ patrick proniewski
2004-04-09 15:58:29 UTC
Permalink
In article
Post by Patrick Stadelmann
Post by Éric Lévénez
Je n'ai pas essayé de le lancer, mais j'aurais plutôt dit que l'application
"virus.mp3" se lance et qu'elle lance après iTunes pour faire croire qu'il y
a un lien entre le nom ".mp3" et l'action effectuée.
C'est ce qui se passe. Mais bon l'effet est ruiné par l'icône MP3 qui
sautille dans le Dock !
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui
est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)

patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Patrick Stadelmann
2004-04-09 16:08:18 UTC
Permalink
Post by patpro ~ patrick proniewski
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui
est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)
Ma machine ? Non... Mon compte de test à la rigeur, oui.

Patrick
--
Patrick Stadelmann <***@unine.ch>
patpro ~ patrick proniewski
2004-04-09 16:56:25 UTC
Permalink
In article
Post by Patrick Stadelmann
Post by patpro ~ patrick proniewski
note bien que dans le cas d'un vrai code méchant, c'est ta machine qui
est ruinée dès l'instant où l'icone du "mp3" sautille dans le dock ;)
Ma machine ? Non... Mon compte de test à la rigeur, oui.
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*

D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.

patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Patrick Stadelmann
2004-04-09 17:17:15 UTC
Permalink
Post by patpro ~ patrick proniewski
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au
mixer tu crois ?

:-)
Post by patpro ~ patrick proniewski
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag
'x' n'est nécessaire que pour le format Mach-O (format d'exécutable
natif de Mac OS X).

Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même
s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent
pas d'influence sur les appli CFM.

Patrick
--
Patrick Stadelmann <***@unine.ch>
patpro ~ patrick proniewski
2004-04-09 17:27:02 UTC
Permalink
In article
Post by Patrick Stadelmann
Post by patpro ~ patrick proniewski
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Il pourrait aussi me demander de détruire passer mes DVD de backup au
mixer tu crois ?
:-)
c'est certain, mais le pire c'est qu'apres il va boire tes bieres !
Post by Patrick Stadelmann
Post by patpro ~ patrick proniewski
D'ailleurs je me demande si un bit setuid serait fonctionnel sur une
appli carbon, ce qui rendrait la chose encore plus expéditive, compte de
test ou pas.
C'est pas une question de Carbon, mais de format d'exécutable. Le flag
'x' n'est nécessaire que pour le format Mach-O (format d'exécutable
natif de Mac OS X).
Pour le format CFM hérité de Mac OS 9, le flag 'x' est ignoré, ie même
s'il n'est pas actif, l'appli peut se lancer. Le suid n'a par conséquent
pas d'influence sur les appli CFM.
sisi, je viens de tester, le +S semble neutraliser l'appli...
Bon mon test était simpliste : un applescript compilé en application,
chown root, et chmod +s, avec comme code :

set montruc to (do shell script "id")
display dialog "id : " & montruc

L'icone de l'appli fait un passage eclair dans le doc, façon j'essaye de
me lancer, et disprrait vraiment aussitot. C'est tres furtif. Pas d'avis
de plantage.
Je n'ai pas testé sur une autre 'vraie' appli.


patpro
--
je cherche un poste d'admin UNIX/Mac
http://patpro.net/cv.php
Olivier Goldberg
2004-04-09 17:27:00 UTC
Permalink
Post by patpro ~ patrick proniewski
un vrai code méchant pourrait exploiter un local-root (via buffer
overflow, escalade de privilège, que sais-je encore) et lancer un
rm -rf /*
Sans droits root ni admin, un simple rf -rf ~/Documents serait déjà très
ennuyeux pour la plupart des gens...
--
Olivier Goldberg, étudiant, macmaniaque, plongeur CMAS ***
Pour le courrier personnel, remplacer dans le From: listes par olivier
AIM/iChat: Nept47
Fra
2004-04-09 16:44:41 UTC
Permalink
Post by Olivier Goldberg
En résumé, un virus pour Mac circule sous la forme d'un fichier avec
l'extension .mp3
Il s'exécute uniquement si on l'ouvre en double-cliquant dessus.
Tiens la rumeur se répands!
<http://www.versiontracker.com/dyn/moreinfo/macosx/23054>
--
Fra
Loading...