Nouveau cheval de troie

patcorinne2000

Membre junior
18 Décembre 2007
58
0
ORVAULT (44)
Salut à tous.
Que pensez-vous de cet article : http://www.insanely-great.com/news.php?id=9913

Comment s'aperçoit-on sous OS X si l'on est infecté ou non (quand on n'a pas d'anti-virus bien sûr).

Quelle est la procédure à suivre en cas d'infection ? (Je veux dire, comme il n'y a pas (très très peu) de virus sous Mac, comment peut-il y avoir des mises à jours d'anti-virus de la part des développeurs d'anti-virus, d'anti-trojan etc...) et donc peut-on faire confiance à ces développeurs ?)

Je sais que le sujet sur les virus a été mainte et mainte fois évoquée sur ce forum, mais, perso, la montée en puissance d'Apple, l'achat de Mac ayant augmenté significativement depuis un bon moment, (merci à la daube Vista), me font penser que des petits malins finiraient bien par s'attaquer à nous très bientôt.

Merci

Patrice
 

pascalformac

Légende
Club MacG
23 Novembre 2003
58 699
1 814
Bonjour
une des grosses differences entre virus pc et virus mac c'est qu'un virus mac est d'abord innoffensif car pour agir il doit d'abord etre installé avec l'autorisation de l'utilisateur

quant à savoir si tel fichier est present , il y a la recherche sur DD
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Bonjour

Les affaires récentes (en juin notamment) concernant les virus et chevaux de Troie sur Mac OS X ont démontré à quel point les vendeurs d'antivirus pouvaient être malhonnêtes. Pour ma part, je ne leur accorde plus aucune confiance.

Ce qui n'empêche que n'importe qui peut être abusé et installer un éventuel malware sur son Mac, comme il le ferait avec n'importe quelle autre application inoffensive.

Concernant le présumé cheval de Troie OSX_LAMZEV.A, d'après les informations données :
- il doit d'abord être récupéré sur un site Internet
- il doit être installé manuellement par l'utilisateur
- il demande à ce dernier de sélectionner une application et un numéro de port supérieur à 1024

... quand il en arrive à ce stade, l'utilisateur normal doit se douter de quelque chose, ou alors il est totalement irresponsable :rateau: !

- il peut être ensuite utilisé comme backdoor ("porte de derrière") lorsque l'application qui a été sélectionnée est lancée
- il crée un fichier /tmp/com.apple.DockSettings, et se copie dans le dossier ~/Library/LaunchAgents afin d'être exécuté au démarrage du système. Une fois lancé, il est effacé.
- il copie le programme de l'application infectée sous {nom de l'application}.app/Contents/MacOS/2 et crée le fichier {nom de l'application}.app/Contents/MacOS/1 afin de s'exécuter chaque fois que l'application est lancée.


En cas de doute (on ne sait jamais, on peut avoir des moments d'absence et ne pas se souvenir qu'on a installé le malware, hein ! :rolleyes: ) on peut en rechercher les traces depuis le Terminal, en tapant les commandes :

ls -al /tmp
pour vérifier si un fichier com.apple.DockSettings y est présent

ls -al ~/Library/LaunchAgents
pour voir si rien n'y a été rajouté (généralement le dossier est vide, exceptés . et .. bien sûr)

find /Applications/ -name 1
puis
find /Applications/ -name 2
pour voir si le dossier /Contents/MacOS/ d'une application ne contiendrait pas à la fois des fichiers nommés 1 et 2 ... si c'est le cas, on peut ensuite se poser la question de savoir s'il s'agit bien du malware que l'on cherche (parce que ce n'est pas sûr)...
Il faut refaire la même manip' sur les éventuels autres dossiers où l'on aurait installé des applications.

Et si l'on ne trouve rien, c'est qu'on n'a pas installé OSX_LAMZEV.A sur son Mac.

Et si on le trouve, il suffit de le supprimer. Si l'on ne se sent pas à l'aise, supprimer et réinstaller l'application infectée est la solution la plus simple.
 

Djin27

Membre confirmé
19 Septembre 2008
140
0
En tapant "ls -al ~/Library/LaunchAgent", j'ai comme réponse "com.google.keystone.agent.plist" (avec . et .. au dessus).
C'est grave docteur?
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Le fichier com.google.keystone.agent.plist situé dans le dossier ~/Bibliothèque/LaunchAgents est utilisé pour activer l'utilitaire de mise à jour Google Updater, qui fonctionne au démarrage et toutes les deux heures quand la session est ouverte.

Si tu n'étais pas au courant, alors tu peux remercier Google d'installer des logiciels d'arrière-plan communicants sans te prévenir.

Compte tenu de la propension de Google à espionner les internautes, nier ouvertement le droit la valeur de la vie privée et violer les lois, tu peux considérer que c'est en quelque sorte un cheval de Troie.
 

Djin27

Membre confirmé
19 Septembre 2008
140
0
Alors je supprime.
Le problème pour les non-initiés, c'est qu'on utilise une machine que recèle derrière elle de multiples fenêtres.
Merci pour le renseignement et bonne journée!
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Le problème pour les non-initiés, c'est qu'on utilise une machine que recèle derrière elle de multiples fenêtres.
Le problème, même pour les initiés, c'est qu'il s'agit d'applications qui n'ont justement pas de fenêtre, et dont par conséquent on ne s'aperçoit pas forcément de la présence.

Ta question m'a d'ailleurs permis de re-jeter un coup d'oeil dans le dossier et d'en éliminer l'équivalent du fichier de Google installé subrepticement par Adobe.

Pour tous ces logiciels, je préfère aller vérifier, télécharger et installer les mises-à-jour à la main.
 

subsole

Vénérable sage
Club MacG
16 Octobre 2010
11 157
3 522
Ta question m'a d'ailleurs permis de re-jeter un coup d'oeil dans le dossier et d'en éliminer l'équivalent du fichier de Google installé subrepticement par Adobe.
Bonjour, :)
Et le nom ce cette petite merveille, est ?

Edit:
C'est lui ?
com.adobe.AAM.updater-1.0.plist
 
Dernière édition:

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Je l'ai supprimé et je ne me souviens plus du nom exact. Ce n'était pas celui que tu indiques (le nom contenait une longue succession de chiffres et de lettres) mais il contenait aussi le mot « Adobe ». Son contenu (ouvert avec Property List Editor) indiquait le chemin vers l'updater inclus dans le package de l'application Adobe Reader.

Sinon, il faut également penser à aller regarder dans le dossier /Bibliothèque/LaunchAgents global.
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Ces deux-là correspondent à deux composants qui sont nécessaires au fonctionnement normal du pare-feu LittleSnitch que tu as dû installer. L'un de ces composants est le pare-feu proprement dit, et l'autre assure l'interface avec l'utilisateur.
 

cazaux-moutou philippe

Membre confirmé
Bonjour

quand le lance la commande : ls -al ~/Library/LaunchAgents

c est quoi valvesoftware.steamclean
et
zeobit.MacKeeper.Helper

merci

j ai
ls -al ~/Library/LaunchAgents
total 48
drwx------ 8 PCM staff 272 6 avr 15:55 .
drwx------@ 54 PCM staff 1836 1 avr 17:16 ..
-rw-r--r-- 1 PCM staff 810 24 fév 2010 com.apple.SafariBookmarksSyncer.plist
-rw-r--r-- 1 PCM staff 655 16 mar 04:49 com.google.GoogleContactSyncAgent.plist
-rw-r--r--@ 1 PCM staff 801 10 mar 15:36 com.google.keystone.agent.plist
-rw-r--r-- 1 PCM staff 755 27 déc 07:50 com.valvesoftware.steamclean.plist
-rw-r--r-- 1 PCM staff 541 19 fév 06:54 com.zeobit.MacKeeper.Helper
-rw-r--r--@ 1 PCM staff 540 6 avr 15:55 ws.agile.1PasswordAgent.plist
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Pour les éléments dont on ne se souvient plus l'installation, le premier réflexe est de faire une recherche sur Internet.

com.zeobit.MacKeeper.Helper semble correspondre à la suite de sécurisation (antivirus, etc.) MacKeeper.

com.valvesoftware.steamclean.plist semble correspondre aux jeux en ligne Stream.
 

PA5CAL

Vétéran
Club MacG
21 Juillet 2005
9 228
597
Île-de-France
Les fichiers ne sont pas arrivés là comme par enchantement. Tu as forcément dû installer ces logiciels un jour, même si tu ne t'en souviens pas.


Pour MacKeeper, il faut fermer le navigateur Internet et supprimer les fichiers suivants :

/Applications/MacKeeper.app

/Library/Application Support/MacKeeper
/Library/LaunchDaemons/com.zeobit.MacKeeper.plugin.AntiTheft.daemon
/Library/LaunchDaemons/com.zeobit.MacKeeper.AntiVirus

~/Library/LaunchAgents/com.zeobit.MacKeeper.Helper
~/Library/LaunchAgents/com.zeobit.MacKeeper.plugin.Backup.agent
~/Library/Preference/com.zeobit.MacKeeper.Helper.plist
~/Library/Preferences/com.zeobit.MacKeeper.plist
~/Library/Caches/com.zeobit.MacKeeper



Pour Stream, je ne sais pas. C'est peut-être indiqué dans la doc du (ou des) jeu(x) en ligne que tu as installé(s).
 
Dernière édition:

cazaux-moutou philippe

Membre confirmé
Pour les 1 et 2 j ai ca

que dois je fair e?

merci

Bloc de code:
iMacPCM:~ PCM$ find /Applications/ -name 1
/Applications//Adium.app/Contents/Frameworks/libmeanwhile.framework/Versions/1
/Applications//Photo Booth.app/Contents/Resources/Printings/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/aGradient/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/bObjects/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/aGradient/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/bObjects/1
iMacPCM:~ PCM$ find /Applications/ -name 2
/Applications//Photo Booth.app/Contents/Resources/Printings/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/aGradient/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/bObjects/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/aGradient/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/bObjects/2


---------- Nouveau message ajouté à 09h10 ---------- Le message précédent a été envoyé à 09h06 ----------

Merci Pascal

J ai fait et redemarré, a priori y sont plus la