 |
 |
| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
ale
iBarman
Inscrit le: 19 Avr 2005
Messages: 3126
Localisation: Vendée
|
 Posté le: Ven 17 Fév 2006 à 8:51 Sujet du message: Un virus mac ? |
 |
|
Un virus dans l'OS X d'Apple
16 février 2006 - 13h53
Un ver dans une pomme c'est courant. Un virus sur une machine Apple c'est assez rare pour en parler...
D'après le site The Register, des chercheurs antivirus ont découvert ce qui semble être le premier virus à infecter les ordinateurs de la marque à la pomme équipés avec le système d'exploitation OS X. L'information a été confirmée par l'éditeur de sécurité Sophos.
L'asticot, dénommé Leap-A, se propage par l'intermédiaire du programme de messagerie instantanée iChat sous la forme d'un fichier intitulé «latestpics.tgz» qui infecte la machine et se répand aux contacts en utilisant «la liste d'amis».
Ce fichier malicieux se fait passer pour un fichier image jpeg. Son ouverture suffirait pour infecter la machine. D'autres sources affirment qu'il ne peut pas se propager seul sans intercation de l'utilisateur (en entrant son code administrateur).
«Certains propriétaires d'ordinateurs Mac persistent à croire que Mac OS X est parfaitement à l'abri des virus informatiques. Leap-A devrait les faire changer d'avis, car il prouve que la menace virale pesant sur Mac OS X est bien réelle», commente Annie Gay, Directeur Général de Sophos France et Europe du Sud.
Les virus Mac sont rares. Généralement, les créateurs de vers préfèrent s'attaquer aux ordinateurs Windows. Mais le succès planétaire des produits de Apple comme l'iPod font de la marque une cible de choix. Leap-A montre que d'autres plates-formes sont vulnérables et que Windows n'a pas ce monopole... 
Si vous avez des infos…
_________________
PowerBook G4 17" - 1.5 GHz - 512 Mo - OS 1O.4.4 - Un pc avec Ubuntu/XP/Vista en triple boot
www.mouton-noir.net
Dernière édition par ale le Ven 17 Fév 2006 à 9:08; édité 1 fois |
|
| Revenir en haut de page |
|
 |
pacis
Modérateur
Inscrit le: 01 Déc 2002
Messages: 8713
Localisation: Entre Nîmes et Montpellier
|
| Posté le: Ven 17 Fév 2006 à 9:06 Sujet du message: |
|
|
c'est pas un virus, c'est un troyen
_________________
David
- moi : MBP 15" retina 2.3Ghz 512ssd 16Go + iPad mini + ipad air
- elle : MBA 1,6Ghz V1
- mômes : que des PC !?!, j'ai loupé un truc là |
|
| Revenir en haut de page |
|
|
ale
iBarman
Inscrit le: 19 Avr 2005
Messages: 3126
Localisation: Vendée
|
| Posté le: Ven 17 Fév 2006 à 9:07 Sujet du message: |
|
|
Oui, mais c'est le début des ennuis…
Merci de la précision. J'ai changé le titre !
_________________
PowerBook G4 17" - 1.5 GHz - 512 Mo - OS 1O.4.4 - Un pc avec Ubuntu/XP/Vista en triple boot
www.mouton-noir.net |
|
| Revenir en haut de page |
|
|
pascalformac
PowerBook 190
Inscrit le: 04 Sep 2004
Messages: 3734
|
| Posté le: Ven 17 Fév 2006 à 9:21 Sujet du message: |
|
|
s'appele aussi oompa loompa et ce n'est PAS un virus
n'est pas exactement un virus mais un malware trojan assez peu conséquent
classé "low danger- innocuous- not dangerous action
Il se propage à 3 conditions
1- Seulement via les Tigerisés ( faut spotlight)
2- Ceux qui activent ichat
3- acceptent et ouvrent la pj latestpicts. tgz en donnant le mot de passe admi
( ce que PERSONNE d'intelligent ne ferait !)
--
moyen d'éviter
* ne pas regler ichat pour acceptation automatique de pieces jointes
* eviter d'utiliser un compte admi ( et de donner un mot de pass admi pour ouvrir une pj)
action précise (selon Ambrosia) du trojan
en anglais
| Citation: | the "Oompa-Loompa Trojan (OSX/Oomp-A)"
The malware was posted as "latestpics.tgz" to a Mac rumors web site, claiming to be pictures of "Mac OS X Leopard" (an upcoming version of Mac OS X.
Andrew writes:
"When unarchived (it is a gzip-compressed tar file), which can be done by simply double-clicking on the file, it appears to be a JPEG file because someone pasted the image of a JPEG file onto the file.
"After it's been unzipped, tar will tell you there are two files in the archive:
._latestpics
latestpics
"The ._latestpics is just the resource fork of the file, which contains the pasted in custom icon meant to fool people into double-clicking on it to (in theory) open the JPEG file for viewing. In actuality, double-clicking on it will launch an executable file.
"The file 'latestpics' is actually a PowerPC-compiled executable program, with routines such as:
_infect:
_infectApps:
_installHooks:
_copySelf:
"A few important points
This should probably be classified as a Trojan, not a virus, because it doesn't self-propagate externally
It does not exploit any security holes; rather it uses "social engineering" to get the user to launch it on their system
It requires the admin password if you're not running as an admin user
It doesn't actually do anything other than attempt to propagate itself via iChat
It has a bug in the code that prevents it from working as intended, and has the side-effect of preventing infected applications from launching
It's not particularly sophisticated
"Here's what it does if a user double-clicks on the file, or otherwise executes it:
It copies itself to /tmp as "latestpics"
It recreates its resource fork in /tmp (with the custom icon in it) from an internally stored gzip'd copy, then sets custom icon bit for the new file in /tmp
It then tar + gzips itself so a pristine copy of itself in .tgz format is left in /tmp
It renames itself from "latestpics.tar.gz" to "latestpics.tgz" then deletes the copied "latestpics" executable from /tmp (This gives it a pristine copy of itself, for later transmission)
It extracts an Input Manager called "apphook.bundle" that is embedded in the macho executable, and copies it to /tmp
If your uid = 0 (you're root), it creates /Library/InputManagers/ , deletes any existing "apphook" bundle in that folder, and copies "apphook" from /tmp to that folder; If your uid != 0 (you're not root), it creates ~/Library/InputManagers/ , deletes any existing "apphook" bundle in that folder, and copies "apphook" from /tmp to that folder
When any application is launched, Mac OS X loads the newly installed "apphook" Input Manager automatically into its address space (This allows it to have the code in the "apphook.bundle" injected into any subsequently launched application via the InputManager mechanism)
When an application is subsequently launched, the "apphook.bundle" Input Manager then appears to try to send the pristine "latestpics.tgz" file in /tmp to people on your buddy list via iChat (who will then presumably download the file, double-click on it, and the cycle repeats) (It looks like the author intended to get it to send the "latestpics.tgz" file out via eMail as well, but never got around to writing that code) -- This lets it send itself to people on your buddy list via iChat; this appears to be the only way it self-propagates externally
It then uses Spotlight to find the 4 most recently used applications on your machine that are not owned by root
In an apparent "Charlie and the Chocolate Factory" reference, it then checks to see if the xattr 'oompa' of the application executable is > 0... if so, it bails out, to prevent it from re-infecting an already infected application
If not, it sets the xattr 'oompa' of the application executable to be 'loompa' (this does nothing, it is just a marker that it has infected this app)
It then copies the application executable to its own resource fork, and replaces the executable with itself -- It has thus effectively injected its code in the host application
When an application is launched from then on, the trojan code is executed, and it tries to re-infect and re-propagate every time that application is launched
It then does an execv on the resource fork of the executable, which is the original application, so the application launches as it normally would (in theory... see below)
--
...]
"In the end, it doesn't appear to actually do anything other than try to propagate itself via iChat, and unintentionally prevent infected applications from running
"It seems that this is more of a 'proof of concept' implementation that could be utilized to actually do something in the future, depending on how successful it is, or it was simply done to garner attention/press. Which I'm sure it'll get.
As noted by Andrew, this particular piece of malware requires user-initiated action to run, and also requires the user to enter an administrator password (if you are logged in as a non-admin user) -- something that should never be required for opening a .jpg file. Its effects also seem to be innocuous. |
|
|
| Revenir en haut de page |
|
|
lpascalon
Administrateur
Inscrit le: 30 Nov 2002
Messages: 31865
Localisation: Toulouse
|
| Posté le: Ven 17 Fév 2006 à 9:46 Sujet du message: |
|
|
C'est un truc qu'il faut télécharger, installer et exécuter, donc on est loin du virus...
Perso je ne tombe pas dans la psychose trop tot, mais il est vrai que si le Mac devient puissant, on risque d'en voir de plus en plus. Il suffit de ne pas mettre son nez n'importe ou et voila.
_________________
Ludovic
Evitez de m'envoyer des messages perso sur le forum. Je préfère les mails.
MBP M1 16", 16 Go, SSD 512 Go
iMac 27" 2,9 GHz, 16 Go, 3 To FusionDrive
iMac G4 24" 1,6 Ghz, 1 Go, SuperDrive
iPhone 12 mini 128 Go
iPad Pro 11", iPad mini Cellular...
 |
|
| Revenir en haut de page |
|
|
ale
iBarman
Inscrit le: 19 Avr 2005
Messages: 3126
Localisation: Vendée
|
| Posté le: Ven 17 Fév 2006 à 9:48 Sujet du message: |
|
|
Fini la tranquillité sur mac
_________________
PowerBook G4 17" - 1.5 GHz - 512 Mo - OS 1O.4.4 - Un pc avec Ubuntu/XP/Vista en triple boot
www.mouton-noir.net |
|
| Revenir en haut de page |
|
|
pacis
Modérateur
Inscrit le: 01 Déc 2002
Messages: 8713
Localisation: Entre Nîmes et Montpellier
|
| Posté le: Ven 17 Fév 2006 à 10:39 Sujet du message: |
|
|
ceux qui utilisent windows font bien avec !! A nous de switcher dans le monde de l'antivirus.
Si ça se trouve, il va y avoir un site/forum spécialement créé rien que pour les utilisateurs mac afin d'apprendre à maitriser les logiciels antivirus !! 
_________________
David
- moi : MBP 15" retina 2.3Ghz 512ssd 16Go + iPad mini + ipad air
- elle : MBA 1,6Ghz V1
- mômes : que des PC !?!, j'ai loupé un truc là |
|
| Revenir en haut de page |
|
|
tom59
PowerBook d'Argent
Inscrit le: 10 Jan 2006
Messages: 255
Localisation: Lille
|
| Posté le: Ven 17 Fév 2006 à 10:43 Sujet du message: |
|
|
Eh bien...
J'ai plus qu'a installer Linux sur mon MBPro...
_________________
MBPro Corei7+ 8Go+ SSD 512Go 7 (OS-X 10.6.7 / Win XP SP2) (PRO)
Mac Mini 1,66 core duo + 2Go + DD 160Go (PERSO)
Mac Book Air 1,8 GHz + SSD (PRO)
iPhone 4 |
|
| Revenir en haut de page |
|
|
lilly
PowerBook Duo 210
Inscrit le: 21 Aoû 2005
Messages: 1869
Localisation: Lyon
|
| Posté le: Ven 17 Fév 2006 à 16:32 Sujet du message: |
|
|
| faut pas exagérer ! y a déjà eu des virus ou trojan sur mac, non ? |
|
| Revenir en haut de page |
|
|
blackjmac
Modérateur
Inscrit le: 04 Jan 2005
Messages: 16711
Localisation: /Library/Scripts/
|
| Posté le: Ven 17 Fév 2006 à 19:20 Sujet du message: |
|
|
dans le passé, on a eu quelques virus bien méchants sur le Mac (graphicaccelerator par exemple, autrement appelé 666 qui pouvait effacer définitivement tout fichier présent sur le disque de sorte à ce qu'il devient irrécupérable - j'ai eu quelques cas de ce genre).
De là à considérer que sous peu, on va être envahi par les virus .... 
_________________
La mine d'or pour OS X - http://www.versiontracker.com/macosx/
 |
|
| Revenir en haut de page |
|
|
ONS99
PowerBook de Chêne
Inscrit le: 16 Juin 2004
Messages: 839
Localisation: Chamonix et encore un peu Bretagne
|
| Posté le: Ven 17 Fév 2006 à 20:40 Sujet du message: |
|
|
C'était l'époque de MacOS 9 et avant, donc incompatibles avec le MacOS X.
On a déjà eut 2-3 alertes depuis 5 ans si je me rappelle bien. Rien de bien méchant mais il y a dejà eut 1 ou 2 troyens je crois. Ça a beau ne pas être un virus stricto-sensus (et fournir le mot de passe administrateur pour qu'il s'installe fait quand même une grosse différence !), c'est assimilé aux virus par les utilisateurs moyens.
Au fait, j'ai ouïe dire que ce cher Sophos sortait ces jours-ci une (nouvelle ?) version Mac de son anti-virus. Ça ne change rien à la dangerosité du troyen dont on parle, mais les rapports qu'entretiennent les boites d'anti-virus avec les virus et les annonces de presse me laissent toujours aussi songeur…
Pour ale : allez en comptant large, déclinaisons comprises, on en est à tout casser à une dizaines de saletés sous MacOS X depuis 5 ans qu'il existe. Tu rajoutes quelques choses comme deux zéros derrière pour Windows. Et ma foi, même si la santé n'est pas excellente, sont pas encore morts là-bas ! On a donc de la marge 
_________________
Éric
Côté obscur le jour, côté éclairé la nuit
Déballage de matos : Alu 15.2"-1.25 GHz-512 Mo-80 Go 5400 t/min, LaCie PocketDrive 40 Go, LaCie d2 Extreme 250 Go, moniteur CRT 21" HP1110, imprimante Canon Pixma IP4000R, scanner Epson Perfection 1200U, borne Airport Extreme blanche, modem Thomson ST 510, tablette Wacom Graphire 1ère génération, télécommande ATI Remote Control, PDA Clié TH55, phone SE T610, APN Minolta Dimage A2 et Dynax 7D, .Mac |
|
| Revenir en haut de page |
|
|
ch-vox
Modérateur
Inscrit le: 22 Oct 2003
Messages: 19379
Localisation: La Réunion
|
| Posté le: Sam 18 Fév 2006 à 7:36 Sujet du message: |
|
|
| lilly a écrit: | | faut pas exagérer ! y a déjà eu des virus ou trojan sur mac, non ? |
il y a déjà eu des applicatifs qu'on a appelés virus pour l'occasion qui se lançaient sous forme de fichier MP3 ou autre. mais comme l'a dit pascal, il demande à chaque fois le mot de passe admin pour se lancer (étrange pour un fichier mp3 non ?  )
la grande nouveauté de cette chose est qu'il s'agit d'un petit troyen, inexistant jusqu'à présent sous OSX. donc méfiance, mais a priori pas de quoi casser trois pattes à un canard : encore une fois il s'agit d'un virus très peu malin.
_________________
Vincent
MacBook Pro Retina 15" mi-2014 Core i7 2,5GHz 16 Go 512 Go (SSD) NVIDIA GeForce GT 750M macOS X 14.5 |
|
| Revenir en haut de page |
|
|
ONS99
PowerBook de Chêne
Inscrit le: 16 Juin 2004
Messages: 839
Localisation: Chamonix et encore un peu Bretagne
|
| Posté le: Sam 18 Fév 2006 à 8:12 Sujet du message: |
|
|
| ch-vox a écrit: | | il y a déjà eu des applicatifs qu'on a appelés virus pour l'occasion qui se lançaient sous forme de fichier MP3 ou autre. |
Bein, c'est pas justement un peu ça un troyen ? Un truc malfaisant (ou qui pourrait l'être) qui se fait passer pour un autre truc connu qui n'est pas malfaisant ?
_________________
Éric
Côté obscur le jour, côté éclairé la nuit
Déballage de matos : Alu 15.2"-1.25 GHz-512 Mo-80 Go 5400 t/min, LaCie PocketDrive 40 Go, LaCie d2 Extreme 250 Go, moniteur CRT 21" HP1110, imprimante Canon Pixma IP4000R, scanner Epson Perfection 1200U, borne Airport Extreme blanche, modem Thomson ST 510, tablette Wacom Graphire 1ère génération, télécommande ATI Remote Control, PDA Clié TH55, phone SE T610, APN Minolta Dimage A2 et Dynax 7D, .Mac |
|
| Revenir en haut de page |
|
|
ch-vox
Modérateur
Inscrit le: 22 Oct 2003
Messages: 19379
Localisation: La Réunion
|
| Posté le: Sam 18 Fév 2006 à 8:54 Sujet du message: |
|
|
| ONS99 a écrit: | | ch-vox a écrit: | | il y a déjà eu des applicatifs qu'on a appelés virus pour l'occasion qui se lançaient sous forme de fichier MP3 ou autre. |
Bein, c'est pas justement un peu ça un troyen ? Un truc malfaisant (ou qui pourrait l'être) qui se fait passer pour un autre truc connu qui n'est pas malfaisant ? |
le truc n'était à l'époque justement pas malfaisant.... 
_________________
Vincent
MacBook Pro Retina 15" mi-2014 Core i7 2,5GHz 16 Go 512 Go (SSD) NVIDIA GeForce GT 750M macOS X 14.5 |
|
| Revenir en haut de page |
|
|
**Alain**
PowerBook de Diamant
Inscrit le: 16 Nov 2004
Messages: 628
Localisation: Lyon
|
| Posté le: Sam 18 Fév 2006 à 10:07 Sujet du message: |
|
|
Moi ce qui me gène, ce n'est pas la présence d'un pseudo virus sur Mac. C'est le fait que Sophos sorte un produit pour Mac et comme par hasard qu'ils soient les auteurs de la découverte de ce virus, à grand renfort d'interview sur les ondes radios de leur directrice : "Les utilisateurs mac, comme leur confrères sur PC, doivent prendre l'habitude de se proteger..."
Il y a quand même des coincidences génantes.
_________________
Macbook Pro 15'' Core 2 Duo 2,16Ghz 2GO
Macbook Pro 15'' Core 2 Duo 2,2Ghz 2GO
Portable HP dv1071ea Pentium M 1,6 2GO DDR
Mac Mini 1,42 Combo |
|
| Revenir en haut de page |
|
|
ch-vox
Modérateur
Inscrit le: 22 Oct 2003
Messages: 19379
Localisation: La Réunion
|
| Posté le: Dim 19 Fév 2006 à 18:33 Sujet du message: |
|
|
| **Alain** a écrit: | Moi ce qui me gène, ce n'est pas la présence d'un pseudo virus sur Mac. C'est le fait que Sophos sorte un produit pour Mac et comme par hasard qu'ils soient les auteurs de la découverte de ce virus, à grand renfort d'interview sur les ondes radios de leur directrice : "Les utilisateurs mac, comme leur confrères sur PC, doivent prendre l'habitude de se proteger..."
Il y a quand même des coincidences génantes. |
le parallèle est bon, on y est d'ailleurs habitués avec les laboratoires de norton ou kaspersky (anciennement AVP) à la grande époque (90's) des virii destructeurs sur PC...
_________________
Vincent
MacBook Pro Retina 15" mi-2014 Core i7 2,5GHz 16 Go 512 Go (SSD) NVIDIA GeForce GT 750M macOS X 14.5 |
|
| Revenir en haut de page |
|
|
Shinbo
PowerBook de Bois
Inscrit le: 04 Nov 2005
Messages: 54
Localisation: Lille
|
| Posté le: Lun 20 Fév 2006 à 10:24 Sujet du message: |
|
|
| tom59 a écrit: | Eh bien...
J'ai plus qu'a installer Linux sur mon MBPro... |
Linux ou un BSD-based comme OS X je pense pas que ca change grand chose.
_________________
PB 12"/1.5Ghz/1.25Go/80Go/Combo
iPod nano 4Go noir |
|
| Revenir en haut de page |
|
|
lilly
PowerBook Duo 210
Inscrit le: 21 Aoû 2005
Messages: 1869
Localisation: Lyon
|
| Posté le: Sam 04 Mar 2006 à 14:44 Sujet du message: |
|
|
| Citation: | Celui qui fait peur au Mac
Le créateur des trois premiers virus pour Mac OS X s’explique.
Il s'appelle Kevin Finisterre. Celui qui a créé les trois premiers similis virus pour Mac OS X est le fondateur de la société Digital Munition. Interrogé par SecurityFocus, il affirme les avoirs réalisés parce que la majorité de l’opinion pensait impossible la création de virus visant le système d’Apple. Cependant, il se décrit comme un amoureux du Mac, et surtout de sa partie matérielle. Sa préférence va en effet à un système Linux tournant sur un Mac. Il revient sur la couverture médiatique qui a résulté de ses créations. Puisqu'il s'agit de « créations de laboratoire », ils ne se sont pas propagés et n’ont pas été trouvé en liberté contrairement à ce qui a été dit. Il souligne également qu’ils demandaient l’autorisation de l’utilisateur et que les erreurs dans le code étaient volontaire de sa part, puisqu'il n’avait pas d’intention malveillante.
|
http://svmmacblogs.vnunet.fr/2006/03/celui_qui_fait_.html#more
Ils tiennent leur info d'ici |
|
| Revenir en haut de page |
|
|
ale
iBarman
Inscrit le: 19 Avr 2005
Messages: 3126
Localisation: Vendée
|
| Posté le: Sam 04 Mar 2006 à 14:50 Sujet du message: |
|
|
bien on devrait le pendre haut et court !
_________________
PowerBook G4 17" - 1.5 GHz - 512 Mo - OS 1O.4.4 - Un pc avec Ubuntu/XP/Vista en triple boot
www.mouton-noir.net |
|
| Revenir en haut de page |
|
|
lilly
PowerBook Duo 210
Inscrit le: 21 Aoû 2005
Messages: 1869
Localisation: Lyon
|
| Posté le: Sam 04 Mar 2006 à 14:54 Sujet du message: |
|
|
tu crois qu'haut et long ça fait plus mal ? Si oui, meilleur choix
En tous cas, il a une belle tête de vainqueur ! |
|
| Revenir en haut de page |
|
|
|
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
 |
 |
|
 |
Pour soutenir le développement
du site, passez par ici pour faire vos achats AppleStore
Powered by phpBB © 2001, 2002 phpBB Group
Traduction par : phpBB-fr.com |
Aide 
Rechercher 
Liste des Membres 
Groupes
S'enregistrer
Profil 
Se connecter pour vérifier ses messages privés 
Connexion 
