10.11 El Capitan Malware type trojan ? comment le trouver ...

[kirm]

bonjour à tous,
je pense avoir un virus type trojan (keylogger ...) dans mon ordinateur car plusieurs actions réalisées sur mon ordinateur sont connues par des connaissances. je sais qu'ils ont déjà essayé d'accéder à mon ordinateur via des wifi public ...
j'ai donc besoin d'aide pour analyser mon os sachant que j'ai téléchargé plusieurs anti-virus grand public et qu'ils n'ont rien trouvé (un vieux trojan en quarantaine).
il s'agit probablement d'un virus très récent et assez subtile pour se cacher ...
si vous connaissez des outils d'analyse des process ... je veux bien que vous m'indiquiez leur nom et que vous m'aidiez a les trouver.
merci par avance pour votre aide

 

[Moonwalker]

Etrecheck

Publie le rapport ici, entre deux balises CODE, et on te dira ce qui nous paraît bizarre autant qu'étrange.

 

[kirm]

salut
voici le rapport EtreCheck ... (je ne vois rien d'anormal)
est-ce qu'il faut utiliser un compte root pour lancer cette analyse ? parce que je suppose que certains virus font tout pour être invisible et cela commence par l'utilisation de droits root

EtreCheck version : 3.0.2 (306)
Rapport créé le 2016-09-07 14:00:46
Télécharger EtreCheck chez https://etrecheck.com
Runtime 4:41
La vitesse : Satisfaisante

Cliquez sur les liens [L’aide] pour l’assistance avec les produits non-Apple.
Cliquez sur les liens [Les détails] pour plus d'informations sur cette ligne.

Problème :Autre problème

Les informations matérielles : ⓘ
    MacBook 12 pouces (début 2015)
    [Les caractéristiques techniques] - [Le guide de l’utilisateur] - [Garantie & service]
    MacBook - modèle : MacBook8,1
    1 1,1 GHz Intel Core M CPU : 2-core
    8 GB RAM Pas extensible
        BANK 0/DIMM0
            4 GB DDR3 1600 MHz ok
        BANK 1/DIMM0
            4 GB DDR3 1600 MHz ok
    Bluetooth: Bon - Handoff/Airdrop2 disponible
    Wireless:  en0: 802.11 a/b/g/n/ac
    La batterie : Santé = Satisfaisant - Comptage de cycles = 407

Les informations vidéo : ⓘ
    Intel HD Graphics 5300
        Color LCD 2560 x 1600

Les logiciel du système : ⓘ
    OS X El Capitan 10.11.6 (15G31) - Temps depuis le démarrage : environ une heure

Les informations des disques : ⓘ
    APPLE SSD disk0 : (251 GB) (Solid State - TRIM: Yes)
        EFI (disk0s1) <non monté>  : 315 Mo
        Recovery HD (disk0s3) <non monté>  [Restauration] : 650 Mo
        Recovery HD (disk0s5) <non monté>  [Restauration] : 650 Mo
        MAC OS Web (disk1) /  : 48.34 Go (32.03 Go libre)
            Crypté  Ouvert
            Core Storage: disk0s4 48.68 Go Online

Le gatekeeper : ⓘ
    Mac App Store et développeurs identifiés

Les extensions du noyau : ⓘ
        /Library/Extensions
    [engagé]    at.obdev.nke.LittleSnitch (3.6.4 - SDK 10.8 - 2016-08-10) [Aide]

Les agents de lancement systèmes : ⓘ
    [échec]    com.apple.nsurlsessiond.plist (2016-06-23)
    [désengagé]    6 tâches d’Apple
    [engagé]    168 tâches d’Apple
    [en marche]    63 tâches d’Apple

Les daemons de lancement systèmes : ⓘ
    [désengagé]    49 tâches d’Apple
    [engagé]    161 tâches d’Apple
    [en marche]    80 tâches d’Apple

Les agents de lancement : ⓘ
    [en marche]    at.obdev.LittleSnitchUIAgent.plist (2016-08-01) [Aide]

Les daemons de lancements : ⓘ
    [en marche]    at.obdev.littlesnitchd.plist (2016-08-01) [Aide]
    [engagé]    com.malwarebytes.HelperTool.plist (2016-08-20) [Aide]
    [engagé]    com.securemac.MacScanDaemon.plist (2016-08-05) [Aide]
    [engagé]    uk.co.canimaansoftware.ClamXavHelper.plist (2016-08-01) [Aide]
    [engagé]    uk.co.canimaansoftware.ClamXavHelperUpdater.plist (2016-08-01) [Aide]

Les agents de lancement pour l’utilisateur : ⓘ
    [engagé]    com.google.keystone.agent.plist (2016-08-01) [Aide]
    [engagé]    uk.co.canimaansoftware.clamxav.UninstallWatcher.plist (2016-08-31)

Les éléments Ouverture : ⓘ
    com.securemac.MacScanAgent    SMLoginItem  (/Applications/MacScan.app/Contents/Library/LoginItems/com.securemac.MacScanAgent.app)

Les plug-ins internets : ⓘ
    Default Browser : 601 - SDK 10.11 (2016-07-09)
    QuickTime Plugin : 7.7.3 (2016-07-09)

Les panneaux de préférences tiers : ⓘ
    Aucun

Le Time Machine : ⓘ
    Time Machine n’est pas configuré !

L’utilisation du CPU par processus : ⓘ
        16%    kernel_task
        15%    Google Chrome
         7%    WindowServer
         7%    Google Chrome Helper(9)
         7%    hidd

L’utilisation de la RAM par processus : ⓘ
    1.54 Go    Google Chrome Helper(9)
    736 Mo    kernel_task
    295 Mo    Google Chrome
    156 Mo    Activity Monitor
    147 Mo    Finder

Les informations de la mémoire virtuelle : ⓘ
    2.09 Go    RAM Disponible
    5.91 Go    RAM Utilisée (1.42 Go Cached)
    0 o    Fichier d’échange utilisé

Les informations du diagnostic : ⓘ
    Sep 7, 2016, 12:45:20 PM    Auto-examen - succès

 

[Moonwalker]

Le seul malware que je vois est Google Chrome.

Plus sérieusement, je ne vois pas bien comment des gens pourraient accéder à ta machine sans que tu t'en aperçoives. Le coupe-feu d'OS et LittleSnitch sont déjà des barrières suffisantes pour empêcher l'intrusion ou au moins la signaler.

Quels sont les réglages des partages ? Préférences Système > Partages

Aurais-tu activé l'accès à distance ?

 

[kirm]

bonjour,
j'ai vérifié les partages je contrôle le firewall qui a cause d'un outil pour sécuriser mes connexion web se désactive automatiquement.
l'accès a distance .. je ne connais pas mais j'ai deja vu des process "remote" quelque chose.
je pense a un virus assez malin et qui exploit des failles de l'OS (et il y en a) ... et a mon avis pas assez con pour utiliser des process du genre " hack".
il se peut que le virus utilise justement le vpn pour se connecter a distance .. ce qui le rendrait indétectable pour LittleSnitch.
est-ce que relancer EtreCheck en utilisant le user root serait une meilleure idée ?

 

[Moonwalker]

je contrôle le firewall qui a cause d'un outil pour sécuriser mes connexion web se désactive automatiquement.

Change d'outil.

Tu fais quoi comme boulot ? Parce qu'on est en pleine science fiction là.

 

[r e m y]

Cet outil pour sécuriser les connexions doit être bien discret, car il n'est pas identifié par EtreCheck (à moins qu'on parle de MacScan, LittleSnitch ou ClamXav....)

Safari pouvait être exploité pour un espionnage à distance (en utilisant la meme faille que sur iOS), mais ca a été corrigé avec la dernière mise à jour de sécurité accompagnée d'une nouvelle version de Safari (et ce procédé ne semblait pas à la portée du premier hacker venu...)

 

[lolipale]

Bonjour,

La réponse est ici

 

[r e m y]

Bonjour,

La réponse est ici

Oh! C'est méchant ca...
Et puis vous auriez pu lui proposer un établissement près du lac, c'est quand même plus sympa et reposant!

 

[kirm]

Change d'outil.

Tu fais quoi comme boulot ? Parce qu'on est en pleine science fiction là.

ce n'est pas de la science fiction .. ca s'appelle un VPN (je l'ai supprimé de la liste du rapport êtrecheck)

ce que je constate c'est qu'il y a des fuites de ce qui se passe sur mon ordi (sans entrer dans les détails des sources)
aujourd'hui les "geek" (a peu pres tous les accro aux réseaux sociaux se passionnent pour le hack et essayent de contacter des pro comme "anonymous" ou autre pour leur demander de pirater des ordinateurs ou de leur expliquer comment faire ...)
bienvenue dans la vraie vie.

 

[kirm]

Bonjour,

La réponse est ici

quand on est incapable (techniquement) de comprendre et d'essayer de comprendre il y a ceci

 

[kirm]

Cet outil pour sécuriser les connexions doit être bien discret, car il n'est pas identifié par EtreCheck (à moins qu'on parle de MacScan, LittleSnitch ou ClamXav....)

Safari pouvait être exploité pour un espionnage à distance (en utilisant la meme faille que sur iOS), mais ca a été corrigé avec la dernière mise à jour de sécurité accompagnée d'une nouvelle version de Safari (et ce procédé ne semblait pas à la portée du premier hacker venu...)

j'ai supprimé l'outil pour sécuriser les connexions du rapport mais il s'agit d'un VPN et cela pour éviter que son nom n'apparait.
j'ai créé une nouvelle partition pour me connecter sur internet. et cela n'a pas empêché les "fuites" de ce que je tape ou fait sur mon ordinateur. Cela dure depuis plus d'un an (j'ai mis du temps pour faire le lien) car au départ cela concernait le contenu de mes mails et je pensais qu'il s'agissait de mes contacts / amis qui répétaient tout.

il semblerait donc que le "virus" ait basculé sur cette nouvelle partition lors de sa création (l'objectif était de l'isoler du reste de mon travail) .. depuis j essaye de le trouver. sachant que dans l'autre partition un "trojan" a été trouvé par un seul des nombreux anti virus que j'utilise.

je surf beaucoup dans les wifi public a cause de mes deplacements ... et mon ordi est toujours avec moi.

 

[kirm]

il y a de nombreux exploit sur mac os (suffit de faire quelques recherches sur le net) je suis tombé par exemple sur l'un d'entre eux qui exploite une faille sur les imprimantes. et alors que je n'avais aucune imprimante d'installée ni même sur mon réseau un process concernant l'impression tournait constamment.

je pense qu'une personne a scanné mon ordi sur l'un des réseaux public auquel je me connecte pour trouver un exploit sur l'OS directement afin de pouvoir soit y installer un virus soit lancer des requêtes

si vous avez d'autres outils de vérification ou d'autres points a vérifier n'hésitez pas a me demander pour les autres curieux / prétentieux incompétent passez votre chemin je suis sur que vous trouverez une discussion a votre niveau sur comment pirater un compte mail ou bien comment télécharger un anti virus et appuyer sur le bouton "scan"

 

[r e m y]

Pourquoi ne pas changer de VPN si vous pensez que c'est la porte d'entrée de ce hacker?

Ca peut d'ailleurs être celui qui fournit le Service de VPN qui en profite pour snifer tout ce qui passe par ses tuyaux (par exemple tous vos mails transitent par le VPN en clair) sans avoir besoin pour celà d'installer quoi que ce soit sur ton Mac, vu que tout passe par chez lui directement...

Et il serait peut être temps d'arrêter de surfer sur les WiFi publics, si vous craignez pour la confidentialité de votre boulot sur le Mac.

Il n'y a rien de plus simple que de créer de "faux hotspots WiFi" pour que des tas d'individus viennent s'y connecter et pomper au passage tout ce qu'ils font transiter par le net...

 

[Moonwalker]

Il y a sans doute un problème mais je reste très dubitatif sur le diagnostique. Le "virus" je n'y crois pas.

Une machine ou un réseau mal sécurisés, des identifiants qui sont passés dans de mauvaises mains, cela j'y crois plus.

ce n'est pas de la science fiction .. ca s'appelle un VPN (je l'ai supprimé de la liste du rapport êtrecheck)

ce que je constate c'est qu'il y a des fuites de ce qui se passe sur mon ordi (sans entrer dans les détails des sources)
aujourd'hui les "geek" (a peu pres tous les accro aux réseaux sociaux se passionnent pour le hack et essayent de contacter des pro comme "anonymous" ou autre pour leur demander de pirater des ordinateurs ou de leur expliquer comment faire ...)
bienvenue dans la vraie vie.

La vraie vie informatique j'y suis depuis très longtemps maintenant. Je connais parfaitement la nature des menaces auxquels sont exposés les ordinateurs en général et les Mac en particulier.

Il n'empêche qu'un Mac ça ne se hack pas aussi simplement lorsqu'il est bien configuré. Or, certaines de tes réponses laissent à penser que tu n'es pas très au fait des choses du Mac en réseau.

On peut installer OpenBSD et se retrouver plus à poil qu'avec Windows si on ne comprend rien à son fonctionnement.

Encore une fois, tu as sans doute introduit des failles dont tu n'as pas conscience et si intrusion il y a elles profitent de cet état de fait et pas des dernières technologiques des Chinois du FBI israélien.

D'ailleurs, si tu te connectes aux réseaux publics, qui sont comme les femmes du même épithète, il ne suffit pas d'un VPN. Un coffre-fort au mieux de la rue a toutes les chances de se faire dérober. Attention aux protocoles utilisés, tous ne sont pas égaux en matière de sécurité.


Pour le reste regarde la signature de Lolipale et tu comprendras à qui tu as affaire par ici.


Une procédure pour ta tranquillité d'esprit :
– changer tout tes mots de passe (tant qu'à faire, en choisir des durs)
– effacer entièrement ton disque système (repartitionner)
– réinstaller OS X de propre
– essayer sans le VPN mystère (ou changer de VPN)


Un MacBook début 2015 n'as pas de port Thunderbolt et n'est donc même pas concerné pas la faille Thunderstrike. Si intrusion il y a, elle est passée par le WiFi.


Maintenant, si tu travailles dans le très sensible et que tu peux intéresser les sus nommés Chinois du FBI israéliens, je te conseille de consulter une officine du même niveau. (ce n'est pas une blague)

 

[kirm]

Pourquoi ne pas changer de VPN si tu penses que c'est la porte d'entrée de ce hacker?

Ca peut d'ailleurs être celui qui fournit le Service de VPN qui en profite pour snifer tout ce qui passe par ses tuyaux (par exemple tous tes mails transitent par le VPN) sans avoir besoin pour celà d'installer quoi que ce soit sur ton Mac, vu que tout passe par chez lui directement...

Merci pour ton aide.
J'ai pensé a cela d'autant plus que j'ai trouvé un truc étrange dans le fonctionnement de cet outil et je l'ai signalé au support de la boite qui le commercialise et qui m'a répondu que ce n'était pas un fonctionnement normal mais je n'ai plus eu de nouvelles depuis.
(je peux te donner plus d'info sur ce sujet en MP)

le problème est que j'ai installé cet outil justement pour me protéger de ces "fuites" d'informations qui ont commencé avant son utilisation.
il y a peut etre deux problèmes distinct et il est aussi possible que l'utilisation du vpn n'a fait que masquer encore plus le fonctionnement du virus.

 

[r e m y]

Suis les conseils de MoonWalker...
Reformatte ton Mac et réinstalle OS X de frais

 

[kirm]

Il y a sans doute un problème mais je reste très dubitatif sur le diagnostique. Le "virus" je n'y crois pas.

Une machine ou un réseau mal sécurisés, des identifiants qui sont passés dans de mauvaises mains, cela j'y crois plus.




La vraie vie informatique j'y suis depuis très longtemps maintenant. Je connais parfaitement la nature des menaces auxquels sont exposés les ordinateurs en général et les Mac en particulier.

Il n'empêche qu'un Mac ça ne se hack pas aussi simplement lorsqu'il est bien configuré. Or, certaines de tes réponses laissent à penser que tu n'es pas très au fait des choses du Mac en réseau.

On peut installer OpenBSD et se retrouver plus à poil qu'avec Windows si on ne comprend rien à son fonctionnement.

Encore une fois, tu as sans doute introduit des failles dont tu n'as pas conscience et si intrusion il y a elles profitent de cet état de fait et pas des dernières technologiques des Chinois du FBI israélien.

D'ailleurs, si tu te connectes aux réseaux publics, qui sont comme les femmes du même épithète, il ne suffit pas d'un VPN. Un coffre-fort au mieux de la rue a toutes les chances de se faire dérober. Attention aux protocoles utilisés, tous ne sont pas égaux en matière de sécurité.


Pour le reste regarde la signature de Lolipale et tu comprendras à qui tu as affaire par ici.


Une procédure pour ta tranquillité d'esprit :
– changer tout tes mots de passe (tant qu'à faire, en choisir des durs)
– effacer entièrement ton disque système (repartitionner)
– réinstaller OS X de propre
– essayer sans le VPN mystère (ou changer de VPN)


Un MacBook début 2015 n'as pas de port Thunderbolt et n'est donc même pas concerné pas la faille Thunderstrike. Si intrusion il y a, elle est passée par le WiFi.


Maintenant, si tu travailles dans le très sensible et que tu peux intéresser les sus nommés Chinois du FBI israéliens, je te conseille de consulter une officine du même niveau. (ce n'est pas une blague)

tu as très bien analysé la situation. c'est pour cette raison que je n'ai pas donné plus d'informations.
les données contenues sur mon disque sont pro il s'agit de projet r&d.
et effectivement je ne suis pas assez calé sur le Mac en réseau. j'utilisais des configurations par défaut et depuis quelques semaines je commence a vérifier plusieurs paramètres mais j'ai toujours fait attention au firewall activé et aux partages de documents.

je dois avoir un virus qui n'est pas encore détectable par les anti-virus même si je m'interroge sur le fait que des personnes qui ne fréquente pas les milieux du hack, de simple citoyens, aient accès a mes données personnels (contenu boite mail, frappe clavier, visualisation écran ...)

mon objectif est de garder cette partition "vide" dans cet état pour trouver la méthode utilisée et remonter jusqu'au responsable et c'est pour cette raison que j'ai besoin de l'aide d'expert

 

[kirm]

Suis les conseils de MoonWalker...
Reformatte ton Mac et réinstalle OS X de frais

si l'on ne connait pas la méthode utilisée et que le wifi soit la porte d'entrée des hackers le problème ne sera pas résolu en formatant puisqu'ils leur suffira de recommencer.
et j'ai besoin des wifi pour travailler (mail ...)

 

[r e m y]

Ah ben oui mais là c'est sans solution!
Les WiFi publics, il n'y a pas plus dangereux pour se faire aspirer ses donnees transitant sur le net!

Si tes travaux de R&D sont top secrets, je suis désolé, mais rien ne devrait figurer sur un ordinateur aussi exposé.
Tout ce qui touche aux projets devrait être sur des ordinateurs sans aucun accès extérieur, coupés du monde. En aucun cas tu ne devrais te promener avec des documents confidentiels sur un ordinateur portable qui peut, en plus, t'etre volé (et il ne me semble meme pas que tu aies activé FileVault pour en crypter le contenu...)

Pour ce qui est des mails, pour ceux qui concernent le projet, c'est via des messageries sécurisées qu'il faut passer.