Marche à suivre cheval de Troie

[supermoquette]

On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.

Le problème est le macuser.

On en est loin ? relis le script dix fois.

whoami


mouahahahahaha


le problème est chez apple et chez ses crétins d'users

 

[divoli]

On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.

Le problème est le macuser.

On en est loin ? relis le script dix fois.

whoami


mouahahahahaha


le problème est chez apple et chez ses crétins d'users

On en est loin dans la mesure où ce problème ne se pose que sporadiquement, dans les faits.

Le jour où il sera beaucoup plus présent, plus fréquent, ce sera autre chose.

Si l'on en est à répondre toujours la même chose, à prédire toujours les mêmes chose, c'est peut-être qu'il y a des raisons.

 

[divoli]

Un article intéressant de MacBidouille...

MacBidouille.com - News du 2008-06-20

 

[PA5CAL]

Pour reprendre la littérature du moment, les commandes pour archiver puis effacer ARDAgent.app sont:

cd /System/Library/CoreServices/RemoteManagement/
sudo tar -czf ARDAgent.app.gz ARDAgent.app
sudo chmod 600 ARDAgent.app.gz
sudo rm -rf ARDAgent.app​

Une autre méthode qui éviterait de devoir effacer l'application consiste à désactiver le s-bit de ARDAgent, mais l'effet "serait" (conditionnel, à vérifier) annulé par une réparation des autorisations:

chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent​

 

[PA5CAL]

Sinon, je pense qu'on va bientôt reparler de cette histoire, et de tout le tintouin qui a été fait autour par les vendeurs de scoops et d'antivirus.

Les "Trojans" ont été bricolés par six jeunes types en l'espace d'un mois sur un forum consacré à la sécurité des Macs. Il semble que l'affaire leur ait un peu échappé sur la fin. En tout cas ils semblent se gausser de toutes les âneries qu'on raconte au sujet de leurs créations.

Pour citer quelques uns des protagonistes:

Just to clarify for non-native English readers or for Internet journalists, anti-virus researchers and anyone else with severe learning disabilities... AStht is not a trojan. It does not pretend to be anything other than what it is. The acronym stands for AppleScript trojan horse template. There may well be trojans created from this template, some may even be 'in the wild', AStht is neither.

Welcome to the wide wide world of 'computer security research'. Its 99% FUD*.

*: Fear, uncertainty and doubt

How long do you think before Apple releases a Security Update. Although this is just as simple as changing permissions on one tiny file.

Has anyone seen this on Packet Storm yet?

The fact that Apple creates security holes in their OS is not in and of itself a problem. The fact that they then market OS X as being secure ( Apple - Mac OS X Leopard - Technology - Security ) is a problem because they lull users into a false sense of security. There will always be users who will download and run programs without having any idea of what they are... as Ron White said "You can't fix stupid" and no amount of security within the OS is going to prevent trojans from being viable. The only problem is the marketing which gets users to believe that they are somehow protected from themselves when that has never been the case in Mac OS X at all. Any user can delete their own important data, and any user can run a program with undesirable consequences. Apple should make this clear instead of proclaiming OS X 'safe and easy' which prompts the media frenzy and the endless posts such as "Why won't Apple do something to protect us from these evil Trojans!!"

Try not downloading and running the damn thing.

Freaky or someone at Intego read about it in this thread and then sent out a press release about the 'threat' (including outright blatant lies in Freaky's case at least) to increase sales of their security software. Then every Internet journalist on Earth either reposted the press release or in some cases paraphrased it which is taking it farther and farther from the truth, which can be read right here in this thread and of course any Internet Reporters who have questions can post questions right here in this thread of this public forum anytime they wish. I bet not one of them bothers.

Andrew, it didn't 'get out', the Security Industry Experts came here, read about it and then did a Chicken Little routine to the Internet Media which promptly repeated what they were told or bent it even further out-of-shape.

...

 

[Bebop 4]

Bonjour tout le monde
.......

Alors j'ai trouvé un moyen simple de régler le problème: j'ai supprimé (provisoirement) ARDAgent de mon Mac.

Pour pouvoir le récupérer plus tard (par exemple lors de la prochaine mise-à-jour de sécurité qui corrigera peut-être la faille) sans devoir le réinstaller, j'en ai préalablement fait une copie dans une archive. Pour ce faire, je me suis logué sous une session "root", je me suis rendu dans le dossier "/Système/Bibliothèque/CoreServices/RemoteManagement/" avec Finder, j'ai créé une archive de "ARDAgent.app", puis j'ai effacé l'application et vidé la corbeille.

Le script qui m'a servi à tester la faille est incapable de lancer ARDAgent (et pour cause, l'application n'est plus là).

Je suis dorénavant vacciné contre tous les malwares qui utilisent cette faille... sans avoir acheté d'antivirus ni de logiciel d'éradication.

Soit dit en passant, si on peut arriver à se passer des vendeurs d'antivirus sur Mac, on aura sûrement moins de chance de voir apparaître des malwares du fait de ce commerce juteux.

Merci PA5CAL, pour avoir pondu cet manip. Je la trouve très accessible, malgré ce que d'autres semblent dire. Activer le compte root avec le Gestionnaire NetInfo n'est pas difficile. Se loguer en root, et suivre le chemin d'accès indiqué jusqu'à ARDAgent.app dans le Finder est simple. Je viens d'apprendre l'existence de ce cheval de Troie, et ça fait pourtant un bon bout de temps que j'explore le forum ! Ça date pourtant de 2006. Il n'est jamais trop tard pour s'instruire. J'ai aussi vérifié avec le Terminal si je n'avais pas ces fameux fichiers, mais je n'avais rien. J'ai été chanceux, parce que je me sert de LimeWire. Maintenant, je me sens protégé, du moins contre ce cheval de Troie-ci.

 

[Deleted member 18124]

Si tu n'en as pas l'utilité, ne coche pas non plus les utilisateurs.

Sous Leopard, la fenêtre est différente. J'ai donc fat comme ça :

 

[Anonyme]

PA5CAL , c'est quoi une session "root" ?

 

[PA5CAL]

PA5CAL , c'est quoi une session "root" ?

"root", c'est le nom d'un compte utilisateur spécial qui permet d'avoir un maximum d'autorisations sur le système, bien plus que ce qu'ont les administrateurs normaux.

"root" peut pratiquement tout faire, ce qui n'est pas sans présenter de danger (sous "root", on peut tout casser si l'on veut). Sous "root", on peut voir par défaut tous les fichiers cachés.


Par défaut, "root" n'est pas activé et ne peut donc pas être utilisé (ça incite les administrateurs tentés de se logger "root" à faire moins souvent des bêtises).

Pour l'activer, il faut se rendre dans l'utilitaire "Gestionnaire Netinfo", sélectionner "Sécurité">"Activer l'utilisateur root", puis entrez un mot de passe de son choix pour le compte "root" (un mot de passe administrateur peut être requis afin d'arriver à cette étape).

Une fois "root" activé, au moment du choix de la session à ouvrir, il faut cliquer sur "Autres", puis entrer "root" comme login, ainsi que le mot de passe choisi précédemment. On se retrouve alors sous une session "root".

Quand on ne se sert pas de "root" pendant assez longtemps, il est recommandé de le désactiver (toujours dans "Gestionnaire Netinfo") pour des raisons de sécurité.


Sous Terminal, "root" peut être invoqué à l'aide de la commande "su" (pour Super User). Le mot de passe de "root" est alors demandé, puis les commandes suivantes sont exécutées au nom de l'utilisateur "root" jusqu'à ce que la fenêtre soit fermée ou que la commande "exit" soit tapée.

En comparaison, "sudo commande" permet l'exécution de commande au nom de l'utilisateur "root", mais ne réclame qu'un mot de passe administrateur.

 

[PA5CAL]

On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.

Le problème est le macuser.

On en est loin ? relis le script dix fois.

whoami


mouahahahahaha


le problème est chez apple et chez ses crétins d'users

Avec le recul...

C'est dingue à quel point tu as visé juste ! :zen: C'est de la prédiction, ça.

 

[Anonyme]

"root", c'est le nom d'un compte utilisateur spécial qui permet d'avoir un maximum d'autorisations sur le système, bien plus que ce qu'ont les administrateurs normaux.

"root" peut pratiquement tout faire, ce qui n'est pas sans présenter de danger (sous "root", on peut tout casser si l'on veut). Sous "root", on peut voir par défaut tous les fichiers cachés.


Par défaut, "root" n'est pas activé et ne peut donc pas être utilisé (ça incite les administrateurs tentés de se logger "root" à faire moins souvent des bêtises).

Pour l'activer, il faut se rendre dans l'utilitaire "Gestionnaire Netinfo", sélectionner "Sécurité">"Activer l'utilisateur root", puis entrez un mot de passe de son choix pour le compte "root" (un mot de passe administrateur peut être requis afin d'arriver à cette étape).

Une fois "root" activé, au moment du choix de la session à ouvrir, il faut cliquer sur "Autres", puis entrer "root" comme login, ainsi que le mot de passe choisi précédemment. On se retrouve alors sous une session "root".

Quand on ne se sert pas de "root" pendant assez longtemps, il est recommandé de le désactiver (toujours dans "Gestionnaire Netinfo") pour des raisons de sécurité.


Sous Terminal, "root" peut être invoqué à l'aide de la commande "su" (pour Super User). Le mot de passe de "root" est alors demandé, puis les commandes suivantes sont exécutées au nom de l'utilisateur "root" jusqu'à ce que la fenêtre soit fermée ou que la commande "exit" soit tapée.

En comparaison, "sudo commande" permet l'exécution de commande au nom de l'utilisateur "root", mais ne réclame qu'un mot de passe administrateur.

Merci pour ces explications !
ps : c'est pour ça que j'ai entendu dire : "demarrer en mode root" ?

 

[PA5CAL]

c'est pour ça que j'ai entendu dire : "demarrer en mode root" ?

Peut-être...

On peut effectivement redémarrer et ouvrir une session "root".

Toutefois, il est possible qu'il s'agisse là d'une subtilité de langage pour désigner le "super-root" (ou "super-duper-user"), qu'on désigne encore comme le mode de démarrage "single user" (appuyer sur les touches Pomme+S au démarrage).

En mode normal (multi-utilisateur), l'utilisateur "root" a pratiquement tous les droits... pratiquement. Son niveau d'exécution est élevé, mais en fait il n'est pas maximum, et certaines opérations lui sont encore interdites (comme désactiver certains indicateurs de fichiers réservés au système, par exemple).

En mode "single user" (mono-utilisateur), l'utilisateur "root" acquiert absolument tous les droits possibles (je précise "possibles", et ça ne veut pas dire "tout et n'importe quoi") car son niveau d'exécution est maximum.

Dans ce mode, le maximum d'actions est permis, mais en contrepartie le système fonctionne a minima, et toutes les actions de démarrage (montage des disques, chargement des extensions, etc.) restent à entreprendre. C'est le mode de dépannage par excellence, à réserver quand on a vraiment eu un GROS pépin...

 

[supermoquette]

On en est loin dans la mesure où ce problème ne se pose que sporadiquement, dans les faits.

Le jour où il sera beaucoup plus présent, plus fréquent, ce sera autre chose.

Si l'on en est à répondre toujours la même chose, à prédire toujours les mêmes chose, c'est peut-être qu'il y a des raisons.

C'est clair. Mais moi mai'nant je ne me pose plus que deux questions :
– le script marche-'til ?
– est-il diffusé ?

Et là…
Remarque, j'attends ce moment avec émotion

 

[supermoquette]

Avec le recul...

C'est dingue à quel point tu as visé juste !

Non je suis juste abonné au flux slashdot.org et pour une fois ils ont été rapides

 

[PA5CAL]

Je reviens sur mon post #44 (nouveau numéro, maintenant que l'ancien fil a été scindé).

La suite de commandes sous Terminal :

cd /System/Library/CoreServices/RemoteManagement/
sudo tar -czf ARDAgent.app.gz ARDAgent.app
sudo chmod 600 ARDAgent.app.gz
sudo rm -rf ARDAgent.app​

fonctionne bien, et est vraiment plus simple à utiliser que d'aller ouvrir une session "root". De cette manière, l'application ARDAgent est sauvegardée dans une archive GZIP, puis supprimée.

Le jour où Apple sortira un correctif pour cette faille, on pourra restaurer ARDAgent avant d'appliquer le correctif. La restauration se fait à l'aide des commandes:

cd /System/Library/CoreServices/RemoteManagement/
sudo tar -xzf ARDAgent.app.gz​

Concernant l'idée de mettre à zéro l'indicateur "s" du fichier exécutable en faisant:

sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent​

je confirme que cela n'est pas une solution viable, car à la première réparation des autorisations, l'indicateur est repositionné:

[COLOR="Teal"][I][B]Réparation des autorisations[/B]
Autorisations d'accès différentes sur
  ./System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent,
 elles devraient être -rwsr-xr-x  au lieu de -rwxr-xr-x [/I][/COLOR]

 

[PA5CAL]

Comme l'indique une très récente actu, l'affaire est (enfin !) sortie dans la presse américaine, avec quelques jours de retard sur votre serviteur.

Il n'empêche que l'article en profite pour faire de la pub à Security Fix, en prétendant (eux aussi) qu'ils ont étudié le code des malwares, alors que tous les éléments étaient clairement expliqués dans le fil des hackers (fil #8640 du forum MacShadows). Ils n'ont eu plus qu'à le lire... d'ailleurs, on peut raisonnablement se demander s'ils ont vraiment compris ce qu'ils ont lu, parce qu'ils sortent des âneries aussi grosses que celles des articles qui traitaient de la propagation des "dangereux chevaux de Troie".

Voilà donc tout un monde qui vit sur notre sentiment d'insécurité et notre besoin d'information. Conseils en sécurité, éditeurs d'antivirus ou reporters, ils donnent tous dans le sensationnel et profitent de notre crédulité pour nous vendre leur camelote, et tant pis pour la vérité qu'on écorche...

Tout cela n'est vraiment pas beau !


Au fait, il est à noter que les forums de MacShadows avaient bizarrement "sauté" depuis dimanche soir (ou après-midi, avec le décalage horaire), et qu'ils sont réapparus ce matin avec un accès beaucoup plus sélectif...

 

[GraphiqueDesign]

... et pour parler simplement, un soft type CLAMXAV, peut il quelque chose contre ces envahisseurs ou va t'il fatiguer la machine pour rien ???

 

[PA5CAL]

Faut-il rappeler que ces logiciels ne sont pas des virus ? Dans le cas présent, on n'a même pas affaire à des chevaux de Troie actifs.

Alors non, ClamXav ne les détecte pas, ni ne les traite, car il n'a aucune raison de le faire. Le site officiel de ClamXav le confirme d'ailleurs.

Dans le cas présent, si l'on devait éradiquer l'agent qui cause la propagation de l'«infection», il faudrait éliminer le type qui a les mains sur le clavier et la souris (ou le trackpad) du Mac, et qui est assez bête pour télécharger et exécuter un logiciel inconnu d'origine louche.

Bref, l'«antivirus» le plus adéquat pour se prémunir de AStht, c'est ça:

pour ceux qui ont ça dans la tête:

 

[PA5CAL]

Je confirme que la dernière mise-à-jour de sécurité (SecUpd2008-004PPC) ne règle pas le problème d'ARDAgent.

Rappel: pour tester la faille, il suffit d'ouvrir Terminal et de taper:

osascript -e 'tell app "ARDAgent" to do shell script "id -un"'​

La première fois, la réponse donnée est "root" lorsque la faille est exploitable. Les fois suivantes, la réponse peut varier.

 

[Anonyme]

Justement , j'allais demander porquoi apple avec la 10,5,4 n'a pas mis en plaçe une maj pour ce ARD agent..