Infection cheval de troie

[Loup_Fenrir]

Bonjour,

Je crois que mon Mac s'est fait infecté par un cheval de troie...

Lorsque j'ouvre Safari ou Firefox, ma page d'acceuil a été remplacée par une autre : "http://www.jerecherche.org/?v=mss"

De plus, j'ai vu sous mes yeux le pointeur de ma souris bouger alors que j'utilise un trackpad et que je n'avais pas les mains dessus!
De temps en temps, apparaît un message sur l'écran du MAC "Connexion interrompue". Comme si quelqu'un accèdait à la machine à distance...

J'ai tout de suite pensé à flashback, j'ai donc effectué toutes les MAJ disponibles...

Cependant le problème persiste... J'ai fait quelques recherches mais je n'ai rien trouvé pouvant me permettre de me débarrasser du problème

Config : MBP 2009, OS X 10.6.8.

Pouvez vous m'aider ?

D'avance merci

 

[Powerdom]

bonjour,

Je suis assez sceptique sur le cheval de Troie. Installez Sophos afin d'en être sur.

 

[Arlequin]

hello

sceptique aussi

ton ordi est sur un réseau (boulot, fac) ?

l'adresse du site plus haut fonctionne sans problème chez moi (tu peux modifier ta page d'accueil comme bon te semble, tu as peut être fais une fausse manip )

"connexion interrompue" > où ça ? sur ton navigateur internet ? y'a un titre à cette fenêtre ?

le pointeur bouge tout seul sur une page web ? ou sur tout ton ordi ?

 

[bompi]

Déjà : couper toute connexion Internet, activer le pare-feu entrant, ajouter un pare-feu sortant (par exemple Little Snitch).
Ensuite actiiver les logs du pare-feu et réactiver la connexion Internet et contrôler ce qui se passe

 

[Polo35230]

Bonjour,

Un ping jerecherche.org renvoie 37.59.170.150 comme adresse IP

Si vous n'allez jamais sur ce site, Il faudrait peut-être essayer de bloquer cette adresse dans le firewall du Mac.

Dans une fenêtre Terminal, taper la commande :
sudo ipfw list (pour vérifier s'il n'y a pas de ligne 100)
Ensuite, taper la commande ci-dessous pour interdire toute comm avec le site jerecherche.com
sudo ipfw add 100 deny ip from 37.59.170.150 to any

On vérifie que le firewall a bien pris la commande:
sudo ipfw list

Si c'est bon, on laisse la conf du firewall comme ça.

Le malware sera tjs présent dans le Mac, mais inofensif...


Si le pb est tjs là, on enlève la ligne 100:
sudo ipfw delete 100

 

[Loup_Fenrir]

Merci à tous pour ces réponses.

@ Powerdom :
installé. Le controle du disque dur est en cours.

@ Arlequin :
Je suis sur la Livebox de mes parents.
Je n'ai pas fait de fausse manip, et quand je corrige la page d'accueil, ce site revient.
En fait l'affichage "connexion interrompue" n'est pas une fenetre traditionnelle. ça fait un effet assez stylé donc je me demande si c'est pas un truc du genre controle à distance de la machine.
Le pointeur bouge tout seul sur la page web ET sur Numbers donc je ne pense pas avoir confondu ça avec une publicité sur internet ou un truc dans le genre.

@ bompi :
je viens d'activer le parefeu entrant. Comment je peux voir les logs?

 

[bompi]

Avec le pare-feu disponible dans l'interface graphique, je ne sais pas ; avec ipfw (l'ancien pare-feu, toujours disponible) voir par exemple ici. Il ne faut peut-être pas laisser les journaux actifs trop longtemps pour ne pas crouler sous le volume.

 

[FrançoisMacG]

De mon côté, je pense plus à un partage d'écran qu'à un Trojan : c'est discret, un Trojan.


J'irais regarder les Préférences de safari, pour vérifier le paramétrage de la page d'accueil.
Et les Préférences Système de Partage : partage d'écran, session à distance, …

Et j'aurais lancé Mocha puis un anti-virus.


Enfin, le réseau de la Livebox est sécurisé par un mot de passe ? l'adresse MAC des ordis autorisés y est mémorisée ?

 

[Loup_Fenrir]

Sophos m'a permis de voir que j'avais un cheval de troie!
Menace : Troj/JSRedir-DX
Nom de fichier : htuakwgf.html

Je l'ai donc supprimé.
J'espère que ça règle le problème...

Je vous remercie tous et j'espère que ce topic n'aura plus besoin d'être actualisé
Je le passerai en mode résolu si le problème ne revient pas

 

[zacromatafalgar]

Sophos m'a permis de voir que j'avais un cheval de troie!
Menace : Troj/JSRedir-DX
Nom de fichier : htuakwgf.html

Je l'ai donc supprimé.
J'espère que ça règle le problème...

Je vous remercie tous et j'espère que ce topic n'aura plus besoin d'être actualisé
Je le passerai en mode résolu si le problème ne revient pas

Comme dit sur Macbidouille, ce trojan ne s'en prend qu'à Windows, le problème est donc ailleurs

Sophos

 

[Loup_Fenrir]

De mon côté, je pense plus à un partage d'écran qu'à un Trojan : c'est discret, un Trojan.


J'irais regarder les Préférences de safari, pour vérifier le paramétrage de la page d'accueil.
Et les Préférences Système de Partage : partage d'écran, session à distance, …

Et j'aurais lancé Mocha puis un anti-virus.


Enfin, le réseau de la Livebox est sécurisé par un mot de passe ? l'adresse MAC des ordis autorisés y est mémorisée ?

Dans Safari la page d'accueil est paramétrée correctement.
Dans partage, seule l'impression à distance est bloquée.
Oui le réseau est sécurisé par un mot de passe et on est en pleine campagne. Aucune chance que qulqu'un s'y connecte, le 1er voisin est à 200 mètres.

Est ce que je lance Mocha bien que j'ai déjà Sophos ?

Déjà : couper toute connexion Internet, activer le pare-feu entrant, ajouter un pare-feu sortant (par exemple Little Snitch).
Ensuite actiiver les logs du pare-feu et réactiver la connexion Internet et contrôler ce qui se passe

A quoi sert le parefeu sortant ?
Concernant les log sur l'entrant j'ai pas compris comment activer l'ancien et ses logs :/





IMPORTANT :
J'ai redémarrer mon Mac et la page d'accueil de Safari est revenue sur "http://www.jerecherche.org/?v=mss"
Etrangement, cette fois ci cela n'a pas impacté Firefox...

En cherchant sur google, il s'avère que sur windows, c'est à cause d'un cheval de troie. J'ai relancé sophos pour voir si "Troj/JSRedir-DX" est revenu

Voici les activités selon LittleSnitch. Voyez vous quelque chose d'étrange ?

By loki8301 at 2012-05-16

By loki8301 at 2012-05-16

 

[Polo35230]

A quoi sert le parefeu sortant ?

A éviter par exemple qu'un malware installé sur ta machine établisse une session avec un un site distant.

Je ne sais pas si tu as lu le post #5 de ce fil, mais essaye tout de même la commande ci-dessous:
sudo ipfw add 100 deny ip from 37.59.170.150 to any

Quelque chose me dit que ça va marcher...

 

[Loup_Fenrir]

Dans mon post de 18h25 j'ai mis les screenshot de LittleSnitch, quelqu'un peut il me dire s'il voit quelque chose de bizarre ?

A éviter par exemple qu'un malware installé sur ta machine établisse une session avec un un site distant.

Je ne sais pas si tu as lu le post #5 de ce fil, mais essaye tout de même la commande ci-dessous:
sudo ipfw add 100 deny ip from 37.59.170.150 to any

Quelque chose me dit que ça va marcher...

Je t'avoue que je n'ai pas tenté avant car je voulais supprimer le trojan et que je ne suis pas à l'aise avec le terminal.
J'ai essayé de le faire mais je comprends pas trop les message

Last login: Wed May 16 19:02:35 on ttys000
macbook-de-"mon_nom"-2:~ "mon nom"$
macbook-de-"mon_nom"-2:~ "mon nom"$
macbook-de-"mon_nom"-2:~ "mon nom"$ sudo ipfw add 100 deny ip from 37.59.170.150 to any

WARNING: Improper use of the sudo command could lead to data loss
or the deletion of important system files. Please double-check your
typing when using sudo. Type "man sudo" for more information.

To proceed, enter your password, or type Ctrl-C to abort.

Password:
00100 deny ip from 37.59.170.150 to any
macbook-de-"mon_nom"-2:~ "mon nom"$
macbook-de-"mon_nom"-2:~ "mon nom"$
macbook-de-"mon_nom"-2:~ "mon nom"$
macbook-de-"mon_nom"-2:~ "mon nom"$ sudo ipfw list
00100 deny ip from 37.59.170.150 to any
65535 allow ip from any to any
macbook-de-"mon_nom"-2:~ "mon nom"$


C'est bon ?
J'arrivais pas à aller à la ligne pour taper les autres commandes donc je ne sais pas si ça a marché...

 

[Polo35230]

Oui, c'est bon.

Le pb est tjs là?

Si il est tjs là, j'avais tout faux. Il faut donc pour annuler la modif précédente:
sudo ipfw delete 100

 

[FrançoisMacG]

Sinon, peut-être penser à DNS Changer : ça se vérifie là = https://forms.fbi.gov/check-to-see-if-your-computer-is-using-rogue-DNS#googtrans(fr)

 

[Loup_Fenrir]

@ FrançoisMacG :
J'ai checké et je ne suis pas concerné par ce truc, tant mieux!

@ Polo35230 :
En effet après le redémarrage de mon MB je n'ai pas eu de modification de la page d'accueil. J'espère que cette fois ci le problème est réglé...