Journal Un virus unix (OSX) dévastateur !

Posté par  (site web personnel) .
Étiquettes : aucune
0
27
oct.
2004
Un bonne tranche de rigolade nous est offerte par ZDnet, bien connu pour son journalisme d'investigation au dessus de tout soupçons de copinage avec les éditeurs : http://www.zdnet.fr/actualites/technologie/0,39020809,39179632,00.h(...)

Dans ce magifique article, on nous explique que Opener est un virus pour mac, qui se "propage" depuis une semaine. Comment se propage 't'il ? "il ne se diffuse pas comme les virus classiques via la messagerie électronique. Il faut qu'une personne l'inocule directement sur une machine en le copiant dans le répertoire de démarrage."

Ha... Formidable. Si quelqu'un vient frapper a la porte, vous demander d'utiliser votre mac avec le mot de passe root, méfiez vous.

Cet article n'est en fait qu'un communiqué déguisé pour l'antivirus Sophos, disponible sous OSX ou ils ne doivent pas en vendre des masses (OSX est un unix, on n'y travaille pas en root, le compte root est désactivé par defaut, toutes les taches d'admin se font via sudo)

La semaine prochaine, dans ZDnet, Gloubiboulga, le nouveau virus shell pour linux, lors de la sortie de la suite antivirus pour linux de Sophos...

Pire, un tour par google news nous permet de voir comment se répends la "news", avec un effet de téléphone arabe qui transforme ce bête script shell en virus terrifiant :

"le nouvel OS d’Apple contient en effet une faille, par où s’engouffre le virus Opener"

"un ver informatique destructeur qui s'attaque au système d'exploitation Mac OS X"

Annie Gay, Directeur Général de Sophos France. « Du fait qu'il est capable d'engranger des données concernant l'utilisateur, la configuration et les mots de passe d'un grand nombre d'applications, ce ver constitue un des pires casse-tête sécuritaires qu'on puisse réunir en un seul programme. »


Bref, la webpresse informatique me fait gerber...
  • # moi ca m'a fait rigoler (c'est le petit frère du virus belge)

    Posté par  . Évalué à 5.

    http://www.sophos.fr/pressoffice/pressrel/20041025renepo.html(...)

    Sophos précise que le virus Renepo n'a pas jusqu'ici été diffusé dans la nature

    il est ou ? il vient d'ou ? mystère, en tout cas, il faut faire très attention tellement il est furtif :

    [Le virus] pour mieux camoufler sa présence sur l'ordinateur :
    - désactive les fonctions d'enregistrement (logs)
    - crée un compte d'utilisateur de niveau administrateur
    - rend modifiable les principaux répertoires systèmes
    - télécharge et installe des outils pirates capables d'enregistrer les mots de passe
    • [^] # Re: moi ca m'a fait rigoler (c'est le petit frère du virus belge)

      Posté par  . Évalué à 6.

      C'est un rootkit, quoi. Présenter ça comme un virus, c'est à la limite de la malhonneteté intellectuelle.
    • [^] # Re: moi ca m'a fait rigoler (c'est le petit frère du virus belge)

      Posté par  . Évalué à 3.

      En fait, le virus en question, il s'appelle l'administrateur :)

      J'ai également beaucoup aimé le côté "virus qui se répand faites attention" alors que bon il faut tout de même aller le mettre dans des partitions nécessitant un bon vieux sudo des collines.

      Mais ce n'EST PAS un virus, mais un cheval de Troie. Un peu comme à l'époque des transferts de données par paquets de disquettes, tu passais la chose qui avait contaminé ton engin dans une disquette, sans le vouloir, et l'autre, par confiance, installait son logiciel kikoolol sur sa machine. Finalement on PEUT l'attraper si celui-ci est inséré dans une faille qui permet d'uploader un fichier quelconque.

      En gros pour que ça devienne crédible il faudrait que tu ais un port ouvert, que le serveur sur ce port ait une faille quelconque qui permette d'installer par exemple un rootkit, et paf la clef usb... euuuuuuh je confond.

      Ce qui m'étonne quand même c'est clairement le "qui se répand" alors que "il n'est pas encore diffusé". Très fort.
  • # T'as bien lu le papier, toi.

    Posté par  (site web personnel) . Évalué à -10.

    Sophos est à peine cité.
    Par contre Intego est largement cité, lui.
    Le reste du papier décrit le fonctionnement de ce "bête script" - beaucoup de virus _sont_ des bêtes scripts, non ? Pour ce que j'en lis, il a l'air sérieux, quand même.
    Mais c'est bien, t'as versé ta haine constitutive du linuxien sur la presse. Et puis, ça va toujours mieux, une fois qu'on a bien vomi.
    • [^] # Re: T'as bien lu le papier, toi.

      Posté par  . Évalué à 2.

      moui, enfin un bête script qu'il faut lancer en local avec des droits d'admin quand même..

      Comme qui dirait un rootkit donc.. à la limite, si ca peut te faire plaisir, considere ca comme un ver, mais qu'il faudrait lancer à la mano en tant que root, et pour ce qui est de la diffusion, qui se contenterait de se copier sur les volumes avec un axx en ecriture.... alors quand on voit qu'il est comparé sur certains sites à nimda ca fait sourire quand même..
      • [^] # Re: T'as bien lu le papier, toi.

        Posté par  (Mastodon) . Évalué à 4.

        moui, enfin un bête script qu'il faut lancer en local avec des droits d'admin quand même..

        Une bonne partie des maqueux que j'ai croisé dans ma carrière installe tout et n'importe quoi dans sa machine sans hésiter. On ne demande pas à un graphiste de com' de réfléchir sur la sécurité informatique, après tout...
        • [^] # Re: T'as bien lu le papier, toi.

          Posté par  (site web personnel) . Évalué à 2.

          Effectivement ce script est un troyen. Avec une bonne ingénierie sociale, on peut arriver à "infecter" un Macintosh. Or la propagation repose sur la naïveté (donc là c'est ok) et sur la facilité de propagation du script.

          Je veux bien qu'un béotien installe le script sans rien comprendre, de là à l'envoyer à ses amis...

          Compromission : oui. Propagation : non.
    • [^] # Re: T'as bien lu le papier, toi.

      Posté par  (site web personnel) . Évalué à 4.

      Il me semble qu'une des caractéristiques principale d'un virus est sa faculté à se répliquer / propager ... ou alors faire de l'escalade de privilèges, ce genre de choses ...
      Ici, c'est un script shell, devant être exécuté par l'administrateur de la machine, donc non, il n'a pas l'air sérieux (pas de réplication, pas exécutable par un utilisateur simple). Ce script doit d'ailleurs pouvoir fonctionner sur un linux/unix avec peu de modifications, et d'ailleurs ca existe déjà en fait, ca s'appelle un rootkit. En fait, la nécessité de passer volontairement root et de l'exécuter (ou de le copier dans un répertoire autostart quoi), c'est comme si un email te demandait de taper dans une console "su" puis "rm -rf /*". C'est potentiellement tout aussi dangereux, mais est ce toujours un virus ?
      Donc pour finir, oui c'est un bête recopiage de communiqué de presse de société d'antivirus, puisque n'importe qui d'autre de bonne foi te dira que ce n'est pas un virus.
      • [^] # Re: T'as bien lu le papier, toi.

        Posté par  . Évalué à 5.

        c'est comme si un email te demandait de taper dans une console "su" puis "rm -rf /*"

        C'est pas le principe du fameux virus belge ? ;)




        /!\ je précise que j'aime bien les belges
        • [^] # Re: T'as bien lu le papier, toi.

          Posté par  . Évalué à 1.

          Dans le même genre d'idée, on trouve ce genre de signature:

          --
          Nouveau! Grace a bash, les smilley prennent de la couleur:
          bash:~$ :(){ :|:& };:


          Tus _ le social engineering ca marche bien _
          • [^] # Re: T'as bien lu le papier, toi.

            Posté par  . Évalué à 2.

            ca fait quoi?
            • [^] # Re: T'as bien lu le papier, toi.

              Posté par  . Évalué à 4.

              Ça définit une fonction qui s'appelle elle-même deux fois, puis la lance. En gros, ça va faire ramer méchamment la bécane.

              Petite anecdote: à l'École, un copain lançait la musique sur une machine à distance (pour pas pourrir le quake). Et des fois, il lançait délibérément un truc que j'aime pas pour essayer de me déconcentrer. Ma parade a consisté à avoir un shell ouvert sur le juke-box, et le ralentir méchamment avec un script de ce genre.

              Snark
            • [^] # Re: T'as bien lu le papier, toi.

              Posté par  (site web personnel) . Évalué à 2.

              c'est un jolie fork bombe des familles...

              "La première sécurité est la liberté"

  • # Pour ceux que ca interesse..

    Posté par  . Évalué à 2.

  • # petit cours sur les virus et les vers

    Posté par  (site web personnel) . Évalué à 2.

    Bon, tout le monde dit que "ce n'est pas un virus parce que ça ne se propage pas tout seul".

    Désolé, c'est un vers qui se propage tout seul. Un virus ne se propage pas tout seul, il a besoin que le programme infecté (qu'on appelle alors le cheval de Troie) soit exécuté pour que la propagation ait lieu.

    C'est d'ailleurs par l'analogie avec le virus biologique qu'on peut se rappeler facilement de cela : le virus du sida contracté par une personne a besoin que cette personne ait un rapport sexuel pour se propager.

    Voir foldoc par exemple pour des définitions au poil sur les concepts informatiques.


    Maintenant, avec un petit ajout on pourrait presque considérer opener comme un virus : il faudrait l'attacher à un shareware et faire en sorte que l'installation/exécution de ce shareware (qui nécessiterait les droits administrateur) ajoute opener dans le startup comme expliqué. Mais je disais "presque" parce qu'une fois une machine infectée, il n'y a pas de vecteur de propagation à l'exécution du code malveillant. Mais, encore un petit effort, et ce serait pas si dur : il suffirait qu'il envoit le shareware au carnet d'adresse lorsqu'il s'installe...

    En l'état, c'est de la roupie de sansonnette, mais le plus dur est fait si on veut compléter le scénario décrit dans le paragraphe précédent...
    • [^] # Re: petit cours sur les virus et les vers

      Posté par  (site web personnel) . Évalué à 2.

      Oui, mais dans 99% des cas, installer un logiciel sous MacOSX se limite au montage automatique d'un .img, puis déplacement de l'icone du programme ou tu veux l'installer. Il y'a très peu de logiciels qui on un installeur, et encore moins qui demandent la "phrase codé" (c'est le terme sur osx) de sudo.

      Mais on peux effectivement imaginer une image disque (distribution habituelle des programmes OSX) qui contient un faux programme genre economiseur d'ecran qui déchire, couplé au script et qui utilise le carnet d'adresse de mail (l'appli par defaut sous mac pour le mail, ils se sont foulé pour le nom, hein) et renvoi cette image disque a tout le carnet d'adresse.

      Mais on peux aussi imaginer exactement la même chose pour linux, bsd, hurd...
    • [^] # Petit cours sur le VIH et le SIDA

      Posté par  . Évalué à 2.

      Attention : on peut attraper le VIH (le SIDA étant un stade du VIH) autrement que durant un rapport sexuel. La transfusion sanguine est, bien entendu, un facteur à risque. C'est d'ailleurs à cause de ça que les personnes homosexuelles n'ont pas le droit de donner leur sang en France, considérées comme "personnes à risque" (ce qui est aberrant, une personne hétérosexuelle étant faite de la même manière et étant sujette aux mêmes risques*). De même, on peut être porteur du VIH sans avoir le SIDA.


      * Une campagne de Stop SIDA en Suisse avait fait cette pub : "La fidélité, la meilleure protection contre le SIDA."
      • [^] # Re: Petit cours sur le VIH et le SIDA

        Posté par  (site web personnel) . Évalué à 2.

        "La fidélité, la meilleure protection contre le SIDA."

        Alors que tout le monde sait que c'est le préservatif (masculin ou féminin, en latex
        ou en polyuréthane) qui protège du SIDA (et des MST) dans un rapport sexuel.

        Par contre, le truc qui protége de la connerie, on cherche toujours...



        PS: ce post n'est pas contre toi, mais contre tout ceux qui ont osé sortir une telle connerie.

        Proverbe Alien : Sauvez la terre ? Mangez des humains !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.