# Nouveau cheval de troie



## patcorinne2000 (15 Décembre 2008)

Salut à tous.
Que pensez-vous de cet article : http://www.insanely-great.com/news.php?id=9913

Comment s'aperçoit-on sous OS X si l'on est infecté ou non (quand on n'a pas d'anti-virus bien sûr).

Quelle est la procédure à suivre en cas d'infection ? (Je veux dire, comme il n'y a pas (très très peu) de virus sous Mac, comment peut-il y avoir des mises à jours d'anti-virus de la part des développeurs d'anti-virus, d'anti-trojan etc...) et donc peut-on faire confiance à ces développeurs ?)

Je sais que le sujet sur les virus a été mainte et mainte fois évoquée sur ce forum, mais, perso, la montée en puissance d'Apple, l'achat de Mac ayant augmenté significativement depuis un bon moment, (merci à la daube Vista), me font penser que des petits malins finiraient bien par s'attaquer à nous très bientôt.

Merci

Patrice


----------



## pascalformac (15 Décembre 2008)

Bonjour 
une des grosses differences entre virus pc et virus mac c'est qu'un virus mac est d'abord  innoffensif car pour agir il doit d'abord etre installé  avec l'autorisation  de l'utilisateur

quant à savoir si tel fichier est present , il y a la recherche sur DD


----------



## PA5CAL (15 Décembre 2008)

Bonjour

Les affaires récentes (en juin notamment) concernant les virus et chevaux de Troie sur Mac OS X ont démontré à quel point les vendeurs d'antivirus pouvaient être malhonnêtes. Pour ma part, je ne leur accorde plus aucune confiance.

Ce qui n'empêche que n'importe qui peut être abusé et installer un éventuel malware sur son Mac, comme il le ferait avec n'importe quelle autre application inoffensive.

Concernant le présumé cheval de Troie OSX_LAMZEV.A, d'après les informations données :
- il doit d'abord être récupéré sur un site Internet
- il doit être installé manuellement par l'utilisateur
- il demande à ce dernier de sélectionner une application et un numéro de port supérieur à 1024

... quand il en arrive à ce stade, l'utilisateur normal doit se douter de quelque chose, ou alors il est totalement irresponsable :rateau: !

- il peut être ensuite utilisé comme backdoor ("porte de derrière") lorsque l'application qui a été sélectionnée est lancée
- il crée un fichier /tmp/com.apple.DockSettings, et se copie dans le dossier ~/Library/LaunchAgents afin d'être exécuté au démarrage du système. Une fois lancé, il est effacé.
- il copie le programme de l'application infectée sous _{nom de l'application}_.app/Contents/MacOS/2 et crée le fichier _{nom de l'application}_.app/Contents/MacOS/1 afin de s'exécuter chaque fois que l'application est lancée.


En cas de doute (on ne sait jamais, on peut avoir des moments d'absence et ne pas se souvenir qu'on a installé le malware, hein !  ) on  peut en rechercher les traces depuis le Terminal, en tapant les commandes :

*ls -al /tmp*
pour vérifier si un fichier com.apple.DockSettings y est présent

*ls -al ~/Library/LaunchAgents*
pour voir si rien n'y a été rajouté (généralement le dossier est vide, exceptés *.* et *..* bien sûr)

*find /Applications/ -name 1*
puis
*find /Applications/ -name 2*
pour voir si le dossier /Contents/MacOS/ d'une application ne contiendrait pas à la fois des fichiers nommés 1 et 2 ... si c'est le cas, on peut ensuite se poser la question de savoir s'il s'agit bien du malware que l'on cherche (parce que ce n'est pas sûr)...
Il faut refaire la même manip' sur les éventuels autres dossiers où l'on aurait installé des applications.

Et si l'on ne trouve rien, c'est qu'on n'a pas installé OSX_LAMZEV.A sur son Mac.

Et si on le trouve, il suffit de le supprimer. Si l'on ne se sent pas à l'aise, supprimer et réinstaller l'application infectée est la solution la plus simple.


----------



## macabee (17 Décembre 2008)

Backdoor , c' est bien la boîte à chocolats ?


----------



## jpmiss (17 Décembre 2008)

macabee a dit:


> Backdoor , c' est bien la boîte à chocolats ?


Tu veux parler de l'usine à Suchards?


 :love:


----------



## Djin27 (9 Avril 2011)

En tapant "ls -al ~/Library/LaunchAgent", j'ai comme réponse "com.google.keystone.agent.plist" (avec . et .. au dessus).
C'est grave docteur?


----------



## ntx (9 Avril 2011)

Djin27 a dit:


> com.google.keystone.agent.plist


Tu envoies ça à Google et tu verras de quoi il en retourne


----------



## PA5CAL (9 Avril 2011)

Le fichier _com.google.keystone.agent.plist_ situé dans le dossier _~/Bibliothèque/LaunchAgents_ est utilisé pour activer l'utilitaire de mise à jour _Google Updater_, qui fonctionne au démarrage et toutes les deux heures quand la session est ouverte.

Si tu n'étais pas au courant, alors tu peux remercier Google d'installer des logiciels d'arrière-plan communicants sans te prévenir.

Compte tenu de la propension de Google à espionner les internautes, nier ouvertement le droit la valeur de la vie privée et violer les lois, tu peux considérer que c'est en quelque sorte un cheval de Troie.


----------



## Djin27 (9 Avril 2011)

Alors je supprime.
Le problème pour les non-initiés, c'est qu'on utilise une machine que recèle derrière elle de multiples fenêtres.
Merci pour le renseignement et bonne journée!


----------



## PA5CAL (9 Avril 2011)

Djin27 a dit:


> Le problème pour les non-initiés, c'est qu'on utilise une machine que recèle derrière elle de multiples fenêtres.


Le problème, même pour les initiés, c'est qu'il s'agit d'applications qui n'ont justement pas de fenêtre, et dont par conséquent on ne s'aperçoit pas forcément de la présence.

Ta question m'a d'ailleurs permis de re-jeter un coup d'oeil dans le dossier et d'en éliminer l'équivalent du fichier de Google installé subrepticement par Adobe.

Pour tous ces logiciels, je préfère aller vérifier, télécharger et installer les mises-à-jour à la main.


----------



## subsole (9 Avril 2011)

PA5CAL a dit:


> Ta question m'a d'ailleurs permis de re-jeter un coup d'oeil dans le dossier et d'en éliminer l'équivalent du fichier de Google installé subrepticement par Adobe.


Bonjour, 
Et le nom ce cette petite merveille, est ?

Edit:
C'est lui ?
 com.adobe.AAM.updater-1.0.plist


----------



## PA5CAL (9 Avril 2011)

Je l'ai supprimé et je ne me souviens plus du nom exact. Ce n'était pas celui que tu indiques (le nom contenait une longue succession de chiffres et de lettres) mais il contenait aussi le mot « Adobe ». Son contenu (ouvert avec Property List Editor) indiquait le chemin vers l'updater inclus dans le package de l'application Adobe Reader.

Sinon, il faut également penser à aller regarder dans le dossier /Bibliothèque/LaunchAgents global.


----------



## ntx (9 Avril 2011)

PA5CAL a dit:


> Ta question m'a d'ailleurs permis de re-jeter un coup d'oeil dans le dossier et d'en éliminer l'équivalent du fichier de Google installé subrepticement par Adobe.


A tiens, toi aussi


----------



## subsole (10 Avril 2011)

Bonjour,
On y trouve aussi deux .plist de LittleSntich. Quid ?


----------



## PA5CAL (10 Avril 2011)

Ces deux-là correspondent à deux composants qui sont nécessaires au fonctionnement normal du pare-feu LittleSnitch que tu as dû installer. L'un de ces composants est le pare-feu proprement dit, et l'autre assure l'interface avec l'utilisateur.


----------



## cazaux-moutou philippe (10 Avril 2011)

Bonjour

quand le lance la commande : ls -al ~/Library/LaunchAgents

c est quoi valvesoftware.steamclean
et
zeobit.MacKeeper.Helper

merci

j ai 


> ls -al ~/Library/LaunchAgents
> total 48
> drwx------   8 PCM  staff   272  6 avr 15:55 .
> drwx------@ 54 PCM  staff  1836  1 avr 17:16 ..
> ...


----------



## PA5CAL (10 Avril 2011)

Pour les éléments dont on ne se souvient plus l'installation, le premier réflexe est de faire une recherche sur Internet.

_com.zeobit.MacKeeper.Helper_ semble correspondre à la suite de sécurisation (antivirus, etc.) MacKeeper.

_com.valvesoftware.steamclean.plist_ semble correspondre aux jeux en ligne Stream.


----------



## cazaux-moutou philippe (10 Avril 2011)

J avais cherché, mais justement je n'utilises ni l'un ni l'autre

comment enlever ca ?


----------



## PA5CAL (10 Avril 2011)

Les fichiers ne sont pas arrivés là comme par enchantement. Tu as forcément dû installer ces logiciels un jour, même si tu ne t'en souviens pas.


Pour MacKeeper, il faut fermer le navigateur Internet et supprimer les fichiers suivants :

/Applications/MacKeeper.app

/Library/Application Support/MacKeeper
/Library/LaunchDaemons/com.zeobit.MacKeeper.plugin.AntiTheft.daemon
/Library/LaunchDaemons/com.zeobit.MacKeeper.AntiVirus

~/Library/LaunchAgents/com.zeobit.MacKeeper.Helper
~/Library/LaunchAgents/com.zeobit.MacKeeper.plugin.Backup.agent
~/Library/Preference/com.zeobit.MacKeeper.Helper.plist
~/Library/Preferences/com.zeobit.MacKeeper.plist
~/Library/Caches/com.zeobit.MacKeeper


Pour Stream, je ne sais pas. C'est peut-être indiqué dans la doc du (ou des) jeu(x) en ligne que tu as installé(s).


----------



## cazaux-moutou philippe (10 Avril 2011)

Pour les 1 et 2 j ai ca

que dois je fair e?

merci


```
iMacPCM:~ PCM$ find /Applications/ -name 1
/Applications//Adium.app/Contents/Frameworks/libmeanwhile.framework/Versions/1
/Applications//Photo Booth.app/Contents/Resources/Printings/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/aGradient/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/bObjects/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/aGradient/1
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/bObjects/1
iMacPCM:~ PCM$ find /Applications/ -name 2
/Applications//Photo Booth.app/Contents/Resources/Printings/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/aGradient/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Images/bObjects/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/aGradient/2
/Applications//Toast 11 Titanium/Disc Cover 3 RE.app/Contents/Resources/Masks/Thumbnails/bObjects/2
```


---------- Nouveau message ajouté à 09h10 ---------- Le message précédent a été envoyé à 09h06 ----------

Merci Pascal

J ai fait et redemarré, a priori y sont plus la


----------

