Virus applets java

apenspel

Vétéran
Club MacG
23 Juin 2002
7 056
329
.be - BXL
Bonjour, bonne nuit pour moi (tu parles)…
Hier soir, je rentrais chez moi et j'ai ouvert mon ordi, lancé mon navigateur (Firefox)…
Pas vraiment eu le temps de continuer, j'ai immédiatement eu une attaque de port scan que Net Barrier a bloquée.

Le jour avant, j'étais allé sur un site douteux, après avoir fait une recherche de termes tout aussi douteux sur le moteur interne de Free (je ne vais pas m'étendre sur le sujet). J'avais immédiatement eu un problème de blocage de Firefox et si j'étais arrivé à fermer sa fenêtre, je n'arrivais pas à quitter sauf avec Forcer à… Je ne m'en étais pas trop formalisé. J'avais relancé Firefox et je m'en étais allé surfer dans des cieux plus cléments.

Tout à l'heure, donc, un peu avant d'aller me coucher, je lance Firefox et une attaque… Bizarre, je venais d'en avoir une, juste à l'ouverture de ma session, quelques minutes avant. J'ai donc quitté Firefox, me souvenant immédiatement de ma mésaventure précédente. Et j'ai décidé de lancer ClamXav. Je continuais à avoir des attaques de port scan, toutes les 5 minutes environ, chaque fois bloquées par Net Barrier. J'ai donc coupé ma connexion en enlevant mon câble ethernet. Clair et net.

Ça fait ± 4heures que ClamXav cherche sur mon HD et il m'a trouvé 3 fichiers identifiés comme des virus dans le cache de mes applets java. Ils sont en quarantaine : classload.jar-26e7a792-589cfdc4.zip, classload.jar-56d50b79-410c9c5b.zip et javainstaller.jar-5ad1bcbe-18bd16bc.zip

Résultat significatif, je n'ai plus eu que deux attaque depuis que j'écris ceci (environ 20 minutes pour m'expliquer posément), venu spécialement.
J'attends que ClamXav ait fini de scanner mon dossier Applications, après qu'il ait scanné mon dossier Système (Mac OS X.4.3), ma Bibliothèque locale et le dossier Users.

Moralité, n'aller pas chercher les termes " macintosh warez" chez Free, même pour jouer, comme je l'ai fait, me souvenant d'un beau site d'il y a environ un an. N'allez pas chercher ces termes ailleurs, tout ça, c'est de la foutaise et c'est dangereux. On a beau être sur Mac, il ne faut pas jouer avec le feu.

Les nouvelles adresses IP de ma Stop list :

218.78.209.82
216.82.123.100
209.190.122.90
209.130.193.81
209.11.244.236 = customer.vpls.net
202.67.226.62
202.67.220.17
72.22.64.28 = dedicated.ipowerweb.com
69.67.64.45
67.159.28.227 = onlinesingles4all.info
67.159.22.134
67.159.22.117
67.159.5.135
66.29.101.33
65.110.39.80 = hikari.ctgameinfo.com
61.205.34.94 = 94.34.205.61.west.flets.alpha-net.ne.jp

Edit : 66.90.84.107 et une de plus.
 

Anabys

Membre d’élite
Club MacG
2 Août 2004
1 099
67
Paris
www.valhalla.fr
Les Applets Java sont limitées dans leurs possibilités d'échanges avec les ordinateurs hôte. Pour contourner cette limitation, il y a basiquement 2 possibilités: les signer numériquement (dans ce cas, elles ne s'exécutent que si tu l'acceptes), redéfinir toute l'API des applets pour enlever les limitations (aucun intérêt, c'est beaucoup trop long et difficile pour être rentable, il faut mieux faire un bon vieux virus en langage de script et l'envoyer par mail au premier gogol venu qui utilise Outlook sans aucune protection). Enfin, on ne peut jamais être sûr, vu l'ingéniosité de certains à trouver des trucs débiles dans le but nuire à l'utilisateur lambda. Et pour le plantage de Firefox, c'est peut être simplement que l'Applet est codée à la wanagain, ou dans l'intention de faire mouliner la JVM (genre une fonction récursive qui ne retourne jamais).

Partant de là, je pense que le problème ne vient pas de Java, mais d'un script malicieux côté serveur qui a récupéré ton IP (pour ça 1 ligne suffit, c'est simple comme rendez-vous... euh pardon, comme bonjour :p ) et qui a balancé des port scan dessus. Si tu es en haut débit avec une IP dynamique, cela ne veut pas dire que cette IP change à chaque connexion. Elle change en fait à l'expiration du bail auprès de ton fournisseur d'accès (d'où par exemple chez Wanadoo, la déconnexion périodique au bout de 24 heures). Tu ne devrais plus du tout avoir de port scan dans quelques jours.