virus?

M

Membre supprimé 2

Invité
bonjour je voudrais me renseigner sur un probleme recemment intervenu sur un cube. Lors du démarrage, l'image de loading (le logo de mac OS), a ete remplace par un space invader, et "Mac OS 9", par "Space OS". J'ai bien peur que cela soit un virus mais norton antivirus ne repare rien du tout , idem avec virusbarrier. Si qqn avait de plus ample renseignement a m'indiquer ce serait cool. Merci a+
 
Est-ce que le problème est toujours présent ?

As-tu un fichier nommé StartupScreen au premier niveau de ton Dossier Système ?

Essaie de remplacer le fichier System par une copie saine, si tu en as une (une copie de sauvegarde, ne prend surtout pas le Système d'un CD démarrable). En fait il faudrait regarder avec ResEdit si les ressources PICT du fichier System ont été modifiées.


------------------
JackSim
 
ouais c'est ce que j'ai voulu voir mais apparemment tout est en ordre je pousserais plus avant demain
 
j'y ai pensé mais je ne connais personne dans mon entourage qui maitrise resedit, et de plus personne meme les proprios de la machine n'ont touche a quoi que ce soit.. toujours est-il que je ne sait pas ou regarder dans quel element du systeme pour reparer ca (je sais que c'est les ressources pict, mais je ne sais de quel element du systeme) a+
 
ton ordinateur est connecté comment à l'internet?

méfie toi si c'est par ADSL et cable.

on compte de plus en plus d'intrusion chez des machines de particuliers qui n'ont pas assez sécurisé leur partage de fichiers ou liens entre applications.

la manip est simple:
il scanne les ports 3031 ou 548 de toutes les adresses ip détenu par wanadoo-netissimo. c'est très facile à faire avec un utilitaire de type PortMaster sur Mac.
dès qu'une adresse ip semble utiliser l'un de ces ports, ils essaient d'entrer.
et sans que tu t'en aperçoive bien sûr.

c'est certainement le port 3031 le plus sensible: il permet le lien entre applications par tcp/ip, ça veut dire que tu peux envoyer des commandes Applescript par ce biais. en gros, ils peuvent faire ce qu'ils veulent de ta machine.
tell application "Finder" of machine "eppc://193.252.xx.xx" to restart
par exemple.

Ce n'est qu'une des nombreuses possibilités offertes aux méchants ;-) à toi de renforcer ton partage de fichiers: vérifier tous les comptes d'accès, les partages, renforcer les mots-de-passes: il faut arrêter de mettre le nom du chien, la date de naissance, les prénoms des proches, etc... et surtout désactiver les invités!

si ton antivirus est inopérant et que tu penses ton mac encore atteint de ces symptômes: vérifie toutes les extensions qui te paraitraient bizarres, essaie de voir tous les process ouverts sur ta machine, fais un tour de tous les fichiers cachés sur tes disques.
Si t'as des doutes, postes les ici.
 
>Et ce genre d'intrusion est-il possible si le partage de fichiers n'est pas activé?

bon je vais tenter d'apporter un peu de réponse sans vous faire tomber dans une paranoïa aigue...

ah l'insécurité des réseaux ! même Apple ne peut pas dire si ses solutions sont sûres à 100%... ils ont beau lancer des concours "100K$ pour qui craque notre serveur", ils ont assez de chance qu'il n'y ait pas tant d'utilisateurs Mac aussi compétent dans ce domaine pour réellement mettre à l'épreuve leurs solutions ;-)

pour qu'il y est intrusion, il faut qu'il y ait une porte au moins...
certains compléteront même qu'il faut une porte et un chemin allant à cette porte...
le chemin, c'est la connexion internet, qu'elle soit de type PPP, adsl, cable, LS etc...
si vous êtes connecté par PPP (modem sur un ligne téléphonique), votre Mac n'est "vulnérable" que durant le temps de votre connexion. C'est pour celà que les pirates ne tentent pas grand chose vers des machines connectées si aléatoirement... le temps de trouver une parade et le chemin vers le Mac a déja disparu.

pour des connexions de type ADSL ou cable, la connexion durant plus longtemps (de plus en plus d'utilisateurs maintiennent la connexion de façon permanente) les pirates peuvent prendre le temps de déployer tout un ensemble de techniques pour tenter l'intrusion.

mais le chemin à votre machine ne suffit pas (normalement), il faut qu'il y ait des "portes" prêtes à être défoncées... dans le domaine des réseaux, ces portes sont appelées des ports.
ainsi, une application serveur qui est en attente d'un message provenant de l'extérieur met en place un système d'écoute sur un "port" ayant un numéro.
je ne vais pas ici faire un cours magistral sur les réseau, mais sachez qu'un serveur web se réserve le port 80, un serveur ftp le port 21, un serveur appleshare le port 548... etc... et tous ces serveurs peuvent être configurés pour utiliser d'autres ports que ces ports par défaut. bonjour le chantier! ;-)

donc, si votre Mac a une quelconque destination serveur en TCP/IP, il va mettre en place un port... et par la même occasion, il va donc devenir vulnérable.
je parlais précédemment du partage de fichier, mais n'oubliez pas par exemple Timbuktu, lorsqu'il est configuré en "TCP/IP incoming access", ou bien encore l'anodin Serveur Web de Mac OS.

comme dit en introduction, ne tombez pas dans une excessive paranoïa: aucun cas de piratage grave n'a encore été signalé avec ces logiciels. de là à conclure qu'ils sont sûrs, ce serait exagéré.

mais allons un peu plus loin: les logiciels évoqués précédemment sont ceux que VOUS, utilisateur de votre machine, avait délibérémment installé et que vous surveillez donc attentivement... Parlons plutôt de logiciels, ou extensions ou tableaux de bord qui pourraient être installé sur votre machine à votre insu:

la mode actuelle est au développement sous Real Basic de petites applications innocentes qui vont transformer votre Mac en serveur, donc ouvrir une porte bien particulière, permettant au créateur du logiciel de communiquer avec son cheval de troie installé sur votre machine sans que vous en ayez été informé. Ces petites applications prenant l'apparence d'extensions, il devient très difficile de les repérer.
Et comment auraient-elles pu s'installer sur votre machine? un ami, en pj d'un mail, un virus, un cd-rom auto-open, ou une seule minute d'inattention sur votre configuration réseau etc...
c'est le cas le plus sournoi (Backdoor), mais celui qui se développe en ce moment à grande vitesse.

enfin, pour être assez complet sur le sujet, sachez que votre Mac est aussi fragile lorsque vous surfez... ne croyez donc pas que le fait de n'avoir aucune activité serveur vous mettes à l'abri :)
hé oui, lorsque vous surfez, votre Mac ouvre une porte pour permettre à votre requête de sortir et bien entendu doit laisser cette porte ouverte jusqu'à la réponse... capito?
là encore, aucun cas de piratage sur Mac par ce principe n'est remonté à mes oreilles.

pour faire un peu de pratique dans le domaine, je vous recommende d'essayer IPNetMonitor chez http://www.sustworks.com, vous pourrez par exemple savoir les ports ouverts par votre Mac et leur état dans l'option Connection list.

parmi mes recommandations pour tenter de vous mettre un peu à l'abri d'éventuelles tentatives, les petits firewall de type NetBarrier sont assez sympa si votre Mac est connecté de façon prolongée à l'internet.
mais encore une dernière fois, ne devenez pas trop parano.
 
Merci (et bravo) pour ces explications fort complètes...
wink.gif
 
merci beaucoup pour ces explications tres detaillees... Renseignements pris, il semblerait que la personne ai telechargee un doc sur un site sur les space invader (un screensaver je crois) elle l'a installée et pis ensuite a tout jeter. Moi apres son passage bah...j'ai fait le grand menage, zappage total du systeme au profit d'un systeme clean. Tout semble rentrer dans l'ordre mais a partir de maintenant je v tout de meme installer netbarrier...on ne sais jamais. Au fait qqn connaitrait-il la difference entre netbarrier et internet security barrier?
 
Internet Security Barrier est un pack qui regroupe les trois logiciel de sécurité d'Intego, à savoir le fameux NetBarrier, ainsi que VirusBarrier et ContentBarrier.

Celà dit, un formatage complet pour "éradiquer" un bête économiseur d'écran, c'est quand même sortir la DCA pour éliminer un moustique, non ?


------------------
JackSim
 
allons jack ce 'etais pas juste un economiseur, le systeme etait foutu, au debut il demarrais juste en affichant ce fichu invader, mais ensuite il s'arretais et laissait l'ordi comme un idiot avec son invader, je ne pouvais que remplacer tout le systeme (je n'ai quand meme pas ete jusqu'a reformatter le disque...tout de meme)
smile.gif
enfin merci a tous