# Marche à suivre cheval de Troie



## PA5CAL (20 Juin 2008)

Bonjour tout le monde 

Comme un fil a été ouvert sur le sujet, j'en profite pour remettre le commentaire que j'ai laissé en bas de l'article.

Le problème, car c'en est un, c'est que n'importe qui peut cliquer sur un fichier exploitant la faille. Si ce n'est pas vous, ce sera peut être votre gamin qui le fera, machinalement ou poussé par la curiosité  .

Et la faille de sécurité (bien réelle puisque je l'ai testée positivement sur mon Mac Mini G4 sous Tiger) permet d'exécuter n'importe quoi en "root" au travers d'ARDAgent (Apple Remote Desktop Agent) même depuis une session disposant d'autorisations réduites au minimum  !

*Mais qui utilise réellement ARDAgent  ?

Pas moi en tout cas.* Et probablement pas non plus la grande majorité des utilisateurs. Cela peut éventuellement servir:
- dans les entreprises où le service informatique gère le parc à distance (ou bien où le patron espionne ses employés) ;
- pour prendre le contrôle à distance du Mac d'un parent ou d'un ami parce qu'il éprouve des difficultés à faire une opération tout seul.
En ce qui me concerne, il m'est déjà arrivé de prendre le contrôle de mon Mac à partir d'un PC distant au travers d'un VNC, mais dans ce cas n'importe quel client VNC peut remplacer ARDAgent.

Alors j'ai trouvé un moyen simple de régler le problème: j'ai *supprimé* (provisoirement) *ARDAgent* de mon Mac.

Pour pouvoir le récupérer plus tard (par exemple lors de la prochaine mise-à-jour de sécurité qui corrigera peut-être la faille) sans devoir le réinstaller, j'en ai préalablement fait une copie dans une archive. Pour ce faire, je me suis logué sous une session "root", je me suis rendu dans le dossier "/Système/Bibliothèque/CoreServices/RemoteManagement/" avec Finder, j'ai créé une archive de "ARDAgent.app", puis j'ai effacé l'application et vidé la corbeille.

Le script qui m'a servi à tester la faille est incapable de lancer ARDAgent (et pour cause, l'application n'est plus là).

Je suis dorénavant vacciné contre tous les malwares qui utilisent cette faille... sans avoir acheté d'antivirus ni de logiciel d'éradication.

 


_Soit dit en passant, si on peut arriver à se passer des vendeurs d'antivirus sur Mac, on aura sûrement moins de chance de voir apparaître des malwares du fait de ce commerce juteux._


----------



## divoli (20 Juin 2008)

Je vais poser une question un peu neuneu, mais comment fait-on pour savoir si l'on a été infecté (hormis scanner avec des logiciels dédiés) ? On tape le nom des deux fichiers dans Spotlight ?

Bon ceci dit, je n'ai rien remarqué de suspect avec LS (et j'évite de télécharger et d'installer n'importe quoi).


----------



## Pharmacos (20 Juin 2008)

Ce n'est quand même pas une méthode accessible pour n'importe qui  tu en conviendras 

Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script  non demandé


----------



## flotow (20 Juin 2008)

Pharmacos a dit:


> Ce n'est quand même pas une méthode accessible pour n'importe qui  tu en conviendras
> 
> Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script  non demandé


bah, comme ce machin recupere les caracteres frappés... il suffit qu'il choppe ton mdp, etc
sachant qu'il est root, il pourrait activer SSH... SSH+ton pass+ton IP (bah ouais, il est root)
la, c'est tout de suite moins rigolo 
moi, j'ai mes ARDAgent qui sont actif... donc pas de probleme (c'est l'autre solution que de le supprimer )


----------



## PA5CAL (20 Juin 2008)

divoli a dit:


> Je vais poser une question un peu neuneu, mais comment fait-on pour savoir si l'on a été infecté (hormis scanner avec des logiciels dédiés) ? On tape le nom des deux fichiers dans Spotlight ?
> 
> Bon ceci dit, je n'ai rien remarqué de suspect avec LS (et j'évite de télécharger et d'installer n'importe quoi).


Pour ce cheval de Troie particulier, il faut vérifier si les fichiers  ne se trouvent pas dans le dossier "/Bibliothèque/Caches/". Or, Spotlignt risque de ne pas s'apercevoir de la présence des fichiers cités dans l'article, et ceux-ci peuvent même être cachés dans le Finder. On peut toutefois vérifier leur présence (ou leur absence) en ouvrant le Terminal et en tapant:find /Library/Caches | grep ASth​Aucun fichier portant le nom de ASthtv05 ou AStht_v06 (ou approchant) ne doit être listé.


Pour détecter d'autres chevaux de Troie potentiels, cela dépend de leur manière d'opérer un fois installés (présence du fichier exécutable, keylogger, communications avec l'extérieur, etc.).


----------



## PA5CAL (20 Juin 2008)

Pharmacos a dit:


> Ce n'est quand même pas une méthode accessible pour n'importe qui  tu en conviendras


Effectivement, sauvegarder ARDAgent sous "root" de manière à pouvoir le récupérer rapidement et facilement est sans doute embêtant pour quelqu'un qui n'aurait pas l'habitude et/ou qui n'aurait pas l'utilisateur "root" d'activé.

Mais pour supprimer l'application, c'est beaucoup plus simple. Dans Terminal, on tape:sudo rm -dRf /System/Library/CoreServices/RemoteManagement/ARDAgent.app/​et on entre le mot de passe administrateur.

*ATTENTION, il faut quand même vérifier deux fois la commande avant de la valider. Cela peut être dangereux si l'on se trompe !*



Pharmacos a dit:


> Sinon moi il y a très peu de risques puisque je suis seul sur ma machine donc......pas grand monde pour exécuter un script  non demandé


Pour ce cheval de Troie-là, c'est sans doute vrai. Mais sûrement pas pour les suivants.

Je crains qu'il soit, dans un avenir très proche (si ce n'est pas déjà fait), possible de *combiner* la faille de ARDAgent (qui est maintenant de notoriété publique jusqu'à dans ses détails) avec une autre faille présente dans un logiciel Internet tel qu'un navigateur, un codec ou un plugin (le plugin Flash par exemple, qui en a déjà présenté plusieurs dans le passé).

Le malware pourrait alors s'installer simplement en *visualisant* une page web ou une animation publicitaire infectée.

Or, de la façon dont sont gérées les pubs sur Internet, il est tout-à-fait possible de se récupérer un malware depuis des sites très sérieux (j'ai déjà été embêté par des pubs surgissantes et bloquantes sur LeMonde.fr diffusées par des arnaqueurs, par exemple).


----------



## Moonwalker (20 Juin 2008)

Hum...

Vous êtes bien compliqués.

Plus simple d'après la news correspondant sur MacG et les autres sites qui ont répercuté la nouvelle, il suffit d'activer ARD dans les Préférences Système>Partage. Je dis bien *activer*.

Ce n'est pas ARD lui-même qui est en cause mais sa gestion en local lorsqu'il est désactivé.

Il s'agit quand même d'une faille sérieuse. N'installez pas n'importe quoi.


----------



## PA5CAL (20 Juin 2008)

Tucpasquic a dit:


> moi, j'ai mes ARDAgent qui sont actif... donc pas de probleme (c'est l'autre solution que de le supprimer )


J'ai testé l'activation de ARDAgent, et cela semble effectivement fonctionner.

J'ai tout de même quelques doutes quant à la sécurité de mon Mac lorsqu'un ARDAgent tourne en tâche de fond, surtout sur un réseau Wifi qui n'est finalement pas très difficile à hacker (j'ai testé, ça prend un peu de temps mais c'est enfantin).

Les récents déboires de SSL sur Debian nous rappellent aussi qu'on n'est jamais à l'abri d'une faille. D'ailleurs, des exploits permettant de mettre en défaut la sécurité de machines utilisant ce protocole sont disponibles sur Internet.

Donc chez moi, j'évite autant faire se peut d'avoir une _backdoor_ (porte de derrière), même si c'est avec un bon verrou dessus. Parce que quelqu'un pourrait un jour en avoir la clé, ou passer par la chatière.


----------



## Moonwalker (20 Juin 2008)

PA5CAL a dit:


> J'ai testé l'activation de ARDAgent, et cela semble effectivement fonctionner.
> 
> J'ai tout de même quelques doutes quant à la sécurité de mon Mac lorsqu'un ARDAgent tourne en tâche de fond, surtout sur un réseau Wifi qui n'est finalement pas très difficile à hacker (j'ai testé, ça prend un peu de temps mais c'est enfantin).
> 
> ...


Je suis sur le principe en accord avec ce que tu dis, mais pour le néophyte, le plus simple est encore pour l'instant d'activer cette fonction en attendant la mise à jour de sécurité.


----------



## supermoquette (20 Juin 2008)

Ben d'expérience au boulot (42 mac et 4 écrans, je suis obligé de faire du ARD) l'agent plante plutôt dans le sens positif : l'admin ne peut plus contrôlé D) et je dois le redémarrer


----------



## macinside (20 Juin 2008)

PA5CAL a dit:


> Mais qui utilise réellement ARDAgent  ?



moi et c'est très pratique (maison ou boulot  )


----------



## Anonyme (20 Juin 2008)

Si je n'utilise pas d'apple script  et que j'active la gestion a distance , je suis épargné si je télécharge des zik's sur limewire  ?


----------



## Deleted member 18124 (20 Juin 2008)

J'ai activé "gestion à distance" dans Partage dans Préférences Système et je n'ai rien coché dans les propositions sur ce que peuvent faire les autres (observer, éteindre,...). C'est bon ?


----------



## PA5CAL (20 Juin 2008)

macinside a dit:


> Citation:
> Envoyé par *PA5CAL*
> 
> Mais qui utilise réellement ARDAgent  ?
> ...


Alors, on aime vivre dangereusement ?! 

Je me doute bien qu'ARD est utilisé par certaines personnes, mais franchement cela doit être loin de représenter le cas général.


----------



## PA5CAL (20 Juin 2008)

iDuck a dit:


> J'ai activé "gestion à distance" dans Partage dans Préférences Système et je n'ai rien coché dans les propositions sur ce que peuvent faire les autres (observer, éteindre,...). C'est bon ?


A priori, ça suffit pour empêcher le cheval de Troie dont on parle d'agir.

Maintenant, je ne sais pas si ça empêchera forcément un autre malware qui tenterait de désactiver ARD pour commencer...


----------



## aCLR (20 Juin 2008)

J'ai pas envie de faire de bêtises alors je demande.

La fenêtre de partage présente dans l'article des actualités est celle de OS X.5 ?






Je demande ça parce que je ne trouve pas gestion à distance dans ma fenêtre partage (OS X.4), je n'ai que session à distance. Je coche quand même ?


----------



## PA5CAL (20 Juin 2008)

Sous Tiger, "Gestion à distance" s'appelle encore "*Apple Remote Desktop*".


----------



## Anonyme (20 Juin 2008)

Salut à tous,
Je vais surement passer pour un idiot mais je voudrais comprendre certaines choses. 
Pour éviter que le cheval infecte ma machine je dois active apple remote deskop. Or j'ai l'impression qu'en activant ça cela donnerait la possibilité à une autre personne de pouvoir accéder à ma machine.
Je me trompe surement mais si l'un d'entre vous voudrez bien m'expliquer la logique de la manipulation.

Merci d'avance


----------



## aCLR (20 Juin 2008)

PA5CAL a dit:


> Sous Tiger, "Gestion à distance" s'appelle encore "*Apple Remote Desktop*".



 Merci, je l'active de suite 




Edit : une nouvelle fenêtre s'affiche.

Dois-je tous cocher ?


----------



## PA5CAL (20 Juin 2008)

obelix974 a dit:


> Salut à tous,
> Je vais surement passer pour un idiot mais je voudrais comprendre certaines choses.
> Pour éviter que le cheval infecte ma machine je dois active apple remote deskop. Or j'ai l'impression qu'en activant ça cela donnerait la possibilité à une autre personne de pouvoir accéder à ma machine.
> Je me trompe surement mais si l'un d'entre vous voudrez bien m'expliquer la logique de la manipulation.
> ...


Le fait qu'Apple Remote Desktop (ARD) ne soit *pas* activé permet d'exécuter une commande avec des droits réservés à l'administrateur système (root). C'est un bug du logiciel.

En revanche, lorsque ARD est activé, ce défaut disparaît. Mais en contrepartie ARD fonctionne.

ARD permet à une personne extérieure d'accéder à la machine, sous réserve que cette personne s'identifie comme un utilisateur autorisé (login + mot de passe). Elle pourra alors faire seulement ce à quoi on l'a autorisé (fenêtre de paramétrage d'ARD dans "Préférences système">"Partage">"Services"...).

Ces limitations sont effectives tant qu'une éventuelle faille de ce système n'est pas exploitée (usurpation d'identité, vol du mot de passe, ...).

Pour ma part, je doute que ce soit sûr à 100%, mais pour l'instant c'est mieux que d'attraper le cheval de Troie dont on parle, dont l'existence est confirmé et qui est bien actuellement en circulation.


----------



## PA5CAL (20 Juin 2008)

aCLR a dit:


> une nouvelle fenêtre s'affiche.
> 
> Dois-je tous cocher ?


Non. Pour la raison indiquée juste au dessus. Ces cases à cocher donnent des autorisations aux personnes extérieurs susceptibles de se connecter sous l'une des identités enregistrées.

Pas coché -> pas d'autorisation -> pas d'ennui (a priori).


----------



## HImac in touch (20 Juin 2008)

Bah dis donc, ça y est un cheval de troie O_O, les boules quoi ...


J'ai bien tout lu mais un truc que je ne comprends pas, je suis sur Tiger et si je n'active pas ARD et que j'execute pas l'Apple Script, y'a un soucis ?

Car si j'ai bien compris la phase numéro 1 qui déclenche tout on va dire c'est l'ouverture du script non ? Et le script est un fichier visible qu'on télécharge ou un fichier caché qui peut s'introduire sans qu'on le veuille avec un autre logiciel ?

Car si c'est comme le style d'un virus sur Windaube , je vois pas où est le soucis si on est au courant qu'il faut pas ouvrir le script concerné , non ?

Éclairez ma lanterne s'il vous plait


----------



## PA5CAL (20 Juin 2008)

Exact. Si on n'exécute pas le script, le cheval de Troie ne s'installe pas.


----------



## divoli (20 Juin 2008)

Crotte !

Un Cheval de Troie peut en cacher un autre


----------



## Anonyme (20 Juin 2008)

Bonne question car moi je n'utilise pas d'apple script..


----------



## HImac in touch (20 Juin 2008)

Merci pour la réponse Pa5cal . Je voulais savoir à quoi sert un Apple Script car ça fait bientôt 3 ans que je suis sur Mac et je les ai jamais vu sur Internet ou même utilisé ? C'est un fichier application ?


----------



## PA5CAL (20 Juin 2008)

PA5CAL a dit:


> Exact. Si on n'exécute pas le script, le cheval de Troie ne s'installe pas.


Cependant, et comme je l'ai déjà dit plus haut, il est tout-à-fait possible de créer un malware reposant sur le même principe qui se lance d'une autre manière :
- en profitant d'une faille éventuelle d'un logiciel Internet (ARDAgent pourrait être appelé en visualisant une page web infectée)
- en lançant un logiciel anodin, mais aux fonctionnalités trompeuses, diffusé par des malfaiteurs et appelant ARDAgent pour en exploiter la faille
- pire, en lançant un logiciel d'installation qui réclamerait normalement des droits d'administration , mais qui s'en servirait pour arrêter ARD afin d'obtenir ensuite l'accès à "root" en appelant ARDAgent.

Lancer ARD et faire attention à ce qu'on installe sur sa machine est une solution suffisante.

Pour ma part j'ai opté pour une solution plus radicale et plus sûre, en supprimant complètement la faille avec ARDAgent, puisque je n'en ai pas l'utilité.


----------



## PA5CAL (20 Juin 2008)

divoli a dit:


> Crotte !
> 
> Un Cheval de Troie peut en cacher un autre


Tiens, qu'est-ce que je disais ? Il ne faut pas lancer n'importe quoi.

Mais là il faut vraiment être neuneu pour aller récupérer un jeu de tripot dans les bas-fonds  , le lancer et lui communiquer un mot de passe sous un prétexte louche. D'ailleurs, un pare-feu applicatif doit être suffisant pour stopper ce "machin".


----------



## PA5CAL (20 Juin 2008)

etienne000 a dit:


> Bonne question car moi je n'utilise pas d'apple script..


Mais Monsieur Jourdan ne faisant pas de prose non plus...

Le fait est qu'un ordinateur est fait pour exécuter des programmes. Il ne fait même que ça.

Et si l'on vient à exécuter un programme vérolé du genre dont on parle, qu'il s'agisse d'un programme en AppleScript ou d'un autre genre, on s'expose fatalement à des déconvenues.


----------



## Anonyme (20 Juin 2008)

Oui il faut être bête 
Merci pa5cal 
Je vais peut-être effacer comme tu as fait...Enfin mon macbook est au s.a.v...


----------



## aCLR (20 Juin 2008)

PA5CAL a dit:


> Non. Pour la raison indiquée juste au dessus. Ces cases à cocher donnent des autorisations aux personnes extérieurs susceptibles de se connecter sous l'une des identités enregistrées.
> 
> Pas coché -> pas d'autorisation -> pas d'ennui (a priori).





Donc, à part l'activation des utilisateurs concernés par Apple remote Desktop, je ne coche rien d'autre ?


----------



## PA5CAL (20 Juin 2008)

HImac in touch a dit:


> Merci pour la réponse Pa5cal . Je voulais savoir à quoi sert un Apple Script car ça fait bientôt 3 ans que je suis sur Mac et je les ai jamais vu sur Internet ou même utilisé ? C'est un fichier application ?


Oui, un fichier AppleScript est un fichier exécutable, décrit initialement dans un langage presque naturel (... du moins pour un anglophone !).

Une petite recherche d'«AppleScript» sur Google te donnera quelques exemple de toutes les choses sympathiques qu'on peut faire avec ce langage. C'est un peu l'équivalent du Visual Basic de Microsoft sous Windows.


----------



## PA5CAL (20 Juin 2008)

aCLR a dit:


> Donc, à part l'activation des utilisateurs concernés par Apple remote Desktop, je ne coche rien d'autre ?


Si tu n'en as pas l'utilité, ne coche pas non plus les utilisateurs.


----------



## aCLR (20 Juin 2008)

PA5CAL a dit:


> Si tu n'en as pas l'utilité, ne coche pas non plus les utilisateurs.



Donc je ne coche rien et je clique OK.

Merci pour tes précieux renseignements PA5CAL.


----------



## HImac in touch (20 Juin 2008)

Bon bah je vais activer ARD et faire attention à ce script et comme ça je suis plus en sécurité ?

De toute façon même si ARD est enclenché il faut que le mec puisse trouver le mot de passe non ?

J'avoue que c'est pas très clair tout ça :rose:


----------



## PA5CAL (20 Juin 2008)

HImac in touch a dit:


> Bon bah je vais activer ARD et faire attention à ce script et comme ça je suis plus en sécurité ?
> 
> De toute façon même si ARD est enclenché il faut que le mec puisse trouver le mot de passe non ?
> 
> J'avoue que c'est pas très clair tout ça :rose:


Avec ARD activé, a priori (en l'absence d'une autre faille de sécurité) il faut effectivement un mot de passe pour se connecter à ta machine.

Même si ça ne te paraît pas très clair, tes interventions montrent que tu comprends tout de même très bien la situation.


----------



## HImac in touch (20 Juin 2008)

Ah bah alors j'avais compris donc , merci bien pour ces infos . C'est mon premier "malware" auquel je suis confronté sur Mac , je suis tout déboussolé


----------



## PA5CAL (20 Juin 2008)

Il faut quand même relativiser. Ce n'est qu'un malware assez banal, pas un virus.

La bestiole ne se propage pas toute seule. Pour cela, elle a besoin que les gens qui la reçoivent y mettent du leur. Ça limite énormément la diffusion, et puis ça fait courir le risque au malfaiteur d'être découvert et localisé.


----------



## Tatooland (20 Juin 2008)

Bon enfin bref ... j'ai rien comprit ! Moi j'ai fait gentiment ce qu'on m' dit c'est à ddire cocher les bonne cases et quand le nouvelle fenetre apparait on coche rien ! voila.
A si j'ai quand meme aprit un truc... on a beau etre des utilisateurs MAC: on est quand meme très très mal préparé a ce genre de problème ! et faut croire que vu le nombre de guguss qui font la pub a la télé pour des mac (plus belle la vie, pub Jean louis David, les Experts etc...) il va y avoir de plus en plus de mac user et donc on sera de moins en moins épargnés par les virus. 


> Il faut quand même relativiser. Ce n'est qu'un malware assez banal, pas un virus.
> 
> La bestiole ne se propage pas toute seule. Pour cela, elle a besoin que les gens qui la reçoivent y mettent du leur. Ça limite énormément la diffusion, et puis ça fait courir le risque au malfaiteur d'être découvert et localisé.


+1
Faut quand meme etre sacrément con pour ouvrir un fichier qui est meme pas une aplication et qui a un nom bizarre et qui est sur LimeWire (réflèxe Windoze)
De plus c'est vrai que c'est meme pas un virus: ça se propage pas tout seul puis il me semble que c'est pas le premier sur Mac, y'en avait déja eut plusieurs non ?

@@+++


----------



## divoli (20 Juin 2008)

Tatooland a dit:


> A si j'ai quand meme aprit un truc... on a beau etre des utilisateurs MAC: on est quand meme très très mal préparé a ce genre de problème ! et faut croire que vu le nombre de guguss qui font la pub a la télé pour des mac (plus belle la vie, pub Jean louis David, les Experts etc...) il va y avoir de plus en plus de mac user et donc on sera de moins en moins épargnés par les virus.



On est très mal préparés pour les simples et bonnes raisons que primo il n'y a pas de virus touchant MacOS X, et que deuxio les malwares sont quand même fort rares et d'apparitions sporadiques.

C'est souvent comme ça, on s'excite (à plus ou moins juste titre) quand il y en a un (de malware) qui apparait. Puis ensuite plus rien jusqu'au prochain, à long terme...

Qu'ensuite, avec la progression de MacOS X, on voit apparaitre régulièrement toute une flopée de virus et malware en tout genre, c'est possible. Mais on est encore très loin d'en être arrivés là.


----------



## supermoquette (21 Juin 2008)

On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.

Le problème est le macuser.

On en est loin ? relis le script dix fois.

whoami


mouahahahahaha


le problème est chez apple et chez ses crétins d'users


----------



## divoli (21 Juin 2008)

supermoquette a dit:


> On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.
> 
> Le problème est le macuser.
> 
> ...



On en est loin dans la mesure où ce problème ne se pose que sporadiquement, dans les faits.

Le jour où il sera beaucoup plus présent, plus fréquent, ce sera autre chose.

Si l'on en est à répondre toujours la même chose, à prédire toujours les mêmes chose, c'est peut-être qu'il y a des raisons.


----------



## divoli (21 Juin 2008)

Un article intéressant de MacBidouille...

MacBidouille.com - News du 2008-06-20


----------



## PA5CAL (21 Juin 2008)

Pour reprendre la littérature du moment, les commandes pour archiver puis effacer ARDAgent.app sont:cd /System/Library/CoreServices/RemoteManagement/
sudo tar -czf ARDAgent.app.gz ARDAgent.app
sudo chmod 600 ARDAgent.app.gz
sudo rm -rf ARDAgent.app​
Une autre méthode qui éviterait de devoir effacer l'application consiste à désactiver le s-bit de ARDAgent, mais l'effet "serait" (conditionnel, à vérifier) annulé par une réparation des autorisations:chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent​


----------



## PA5CAL (21 Juin 2008)

Sinon, je pense qu'on va bientôt reparler de cette histoire, et de tout le tintouin qui a été fait autour par les vendeurs de scoops et d'antivirus.

Les "Trojans" ont été bricolés par six jeunes types en l'espace d'un mois sur un forum consacré à la sécurité des Macs. Il semble que l'affaire leur ait un peu échappé sur la fin. En tout cas ils semblent se gausser de toutes les âneries qu'on raconte au sujet de leurs créations.

Pour citer quelques uns des protagonistes:





> Just to clarify for non-native English readers or for Internet journalists, anti-virus researchers and anyone else with severe learning disabilities... AStht is not a trojan. It does not pretend to be anything other than what it is. The acronym stands for AppleScript trojan horse template. There may well be trojans created from this *template*, some may even be 'in the wild', AStht is neither.





> Welcome to the wide wide world of 'computer security research'. Its 99% FUD*.
> 
> *: Fear, uncertainty and doubt





> How long do you think before Apple releases a Security Update. Although this is just as simple as changing permissions on one tiny file.
> 
> Has anyone seen this on Packet Storm yet?





> The fact that Apple creates security holes in their OS is not in and of itself a problem. The fact that they then market OS X as being secure ( Apple - Mac OS X Leopard - Technology - Security ) is a problem because they lull users into a false sense of security. There will always be users who will download and run programs without having any idea of what they are... as Ron White said "You can't fix stupid" and no amount of security within the OS is going to prevent trojans from being viable. The only problem is the marketing which gets users to believe that they are somehow protected from themselves when that has never been the case in Mac OS X at all. Any user can delete their own important data, and any user can run a program with undesirable consequences. Apple should make this clear instead of proclaiming OS X 'safe and easy' which prompts the media frenzy and the endless posts such as "Why won't Apple do something to protect us from these evil Trojans!!"
> 
> Try not downloading and running the damn thing.





> Freaky or someone at Intego read about it in this thread and then sent out a press release about the 'threat' (including outright blatant lies in Freaky's case at least) to increase sales of their security software. Then every Internet journalist on Earth either reposted the press release or in some cases paraphrased it which is taking it farther and farther from the truth, which can be read right here in this thread and of course any Internet Reporters who have questions can post questions right here in this thread of this public forum anytime they wish. I bet not one of them bothers.





> Andrew, it didn't 'get out', the Security Industry Experts came here, read about it and then did a Chicken Little routine to the Internet Media which promptly repeated what they were told or bent it even further out-of-shape.


...


----------



## Bebop 4 (21 Juin 2008)

PA5CAL a dit:


> Bonjour tout le monde
> .......
> 
> Alors j'ai trouvé un moyen simple de régler le problème: j'ai *supprimé* (provisoirement) *ARDAgent* de mon Mac.
> ...



Merci PA5CAL, pour avoir pondu cet manip.  Je la trouve très accessible, malgré ce que d'autres semblent dire. Activer le compte root avec le Gestionnaire NetInfo n'est pas difficile. Se loguer en root, et suivre le chemin d'accès indiqué jusqu'à ARDAgent.app dans le Finder est simple. Je viens d'apprendre l'existence de ce cheval de Troie, et ça fait pourtant un bon bout de temps que j'explore le forum ! Ça date pourtant de 2006. :rose: Il n'est jamais trop tard pour s'instruire. J'ai aussi vérifié avec le Terminal si je n'avais pas ces fameux fichiers, mais je n'avais rien. J'ai été chanceux, parce que je me sert de LimeWire. Maintenant, je me sens protégé, du moins contre ce cheval de Troie-ci.


----------



## Deleted member 18124 (21 Juin 2008)

PA5CAL a dit:


> Si tu n'en as pas l'utilité, ne coche pas non plus les utilisateurs.


Sous Leopard, la fenêtre est différente. J'ai donc fat comme ça :


----------



## Anonyme (21 Juin 2008)

PA5CAL , c'est quoi une session "root" ?


----------



## PA5CAL (21 Juin 2008)

etienne000 a dit:


> PA5CAL , c'est quoi une session "root" ?


"root", c'est le nom d'un compte utilisateur spécial qui permet d'avoir un maximum d'autorisations sur le système, bien plus que ce qu'ont les administrateurs normaux.

"root" peut pratiquement tout faire, ce qui n'est pas sans présenter de danger (sous "root", on peut tout casser si l'on veut). Sous "root", on peut voir par défaut tous les fichiers cachés.


Par défaut, "root" n'est pas activé et ne peut donc pas être utilisé (ça incite les administrateurs tentés de se logger "root" à faire moins souvent des bêtises).

Pour l'activer, il faut se rendre dans l'utilitaire "Gestionnaire Netinfo", sélectionner "Sécurité">"Activer l'utilisateur root", puis entrez un mot de passe de son choix pour le compte "root" (un mot de passe administrateur peut être requis afin d'arriver à cette étape).

Une fois "root" activé, au moment du choix de la session à ouvrir, il faut cliquer sur "Autres", puis entrer "root" comme login, ainsi que le mot de passe choisi précédemment. On se retrouve alors sous une *session "root*".

Quand on ne se sert pas de "root" pendant assez longtemps, il est recommandé de le désactiver (toujours dans "Gestionnaire Netinfo") pour des raisons de sécurité.


Sous Terminal, "root" peut être invoqué à l'aide de la commande "su" (pour Super User). Le mot de passe de "root" est alors demandé, puis les commandes suivantes sont exécutées au nom de l'utilisateur "root" jusqu'à ce que la fenêtre soit fermée ou que la commande "exit" soit tapée.

En comparaison, "sudo _commande_" permet l'exécution de _commande_ au nom de l'utilisateur "root", mais ne réclame qu'un mot de passe administrateur.


----------



## PA5CAL (21 Juin 2008)

supermoquette a dit:


> On est très mal préparé parce qu'ici, si tu poses la question, on se moque de toi. Ou si tu prédis, pareil.
> 
> Le problème est le macuser.
> 
> ...


Avec le recul...

C'est dingue à quel point tu as visé juste !  C'est de la prédiction, ça.


----------



## Anonyme (21 Juin 2008)

PA5CAL a dit:


> "root", c'est le nom d'un compte utilisateur spécial qui permet d'avoir un maximum d'autorisations sur le système, bien plus que ce qu'ont les administrateurs normaux.
> 
> "root" peut pratiquement tout faire, ce qui n'est pas sans présenter de danger (sous "root", on peut tout casser si l'on veut). Sous "root", on peut voir par défaut tous les fichiers cachés.
> 
> ...



Merci pour ces explications ! 
ps : c'est pour ça que j'ai entendu dire : "demarrer en mode root" ?


----------



## PA5CAL (21 Juin 2008)

etienne000 a dit:


> c'est pour ça que j'ai entendu dire : "demarrer en mode root" ?


Peut-être...

On peut effectivement redémarrer et ouvrir une session "root".

Toutefois, il est possible qu'il s'agisse là d'une subtilité de langage pour désigner le "super-root" (ou "super-duper-user"), qu'on désigne encore comme le mode de démarrage "single user" (appuyer sur les touches Pomme+S au démarrage).

En mode normal (multi-utilisateur), l'utilisateur "root" a pratiquement tous les droits... pratiquement. Son niveau d'exécution est élevé, mais en fait il n'est pas maximum, et certaines opérations lui sont encore interdites (comme désactiver certains indicateurs de fichiers réservés au système, par exemple).

En mode "single user" (mono-utilisateur), l'utilisateur "root" acquiert absolument tous les droits possibles (je précise "possibles", et ça ne veut pas dire "tout et n'importe quoi") car son niveau d'exécution est maximum.

Dans ce mode, le maximum d'actions est permis, mais en contrepartie le système fonctionne a minima, et toutes les actions de démarrage (montage des disques, chargement des extensions, etc.) restent à entreprendre. C'est le mode de dépannage par excellence, à réserver quand on a vraiment eu un GROS pépin...


----------



## supermoquette (21 Juin 2008)

divoli a dit:


> On en est loin dans la mesure où ce problème ne se pose que sporadiquement, dans les faits.
> 
> Le jour où il sera beaucoup plus présent, plus fréquent, ce sera autre chose.
> 
> Si l'on en est à répondre toujours la même chose, à prédire toujours les mêmes chose, c'est peut-être qu'il y a des raisons.


C'est clair. Mais moi mai'nant je ne me pose plus que deux questions :
 le script marche-'til ?
 est-il diffusé ?

Et là
Remarque, j'attends ce moment avec émotion


----------



## supermoquette (21 Juin 2008)

PA5CAL a dit:


> Avec le recul...
> 
> C'est dingue à quel point tu as visé juste !


Non je suis juste abonné au flux slashdot.org et pour une fois ils ont été rapides


----------



## PA5CAL (22 Juin 2008)

Je reviens sur mon post #44 (nouveau numéro, maintenant que l'ancien fil a été scindé).

La suite de commandes sous Terminal :*cd /System/Library/CoreServices/RemoteManagement/
sudo tar -czf ARDAgent.app.gz ARDAgent.app
sudo chmod 600 ARDAgent.app.gz
sudo rm -rf ARDAgent.app*​fonctionne bien, et est vraiment plus simple à utiliser que d'aller ouvrir une session "root". De cette manière, l'application ARDAgent est sauvegardée dans une archive GZIP, puis supprimée.

Le jour où Apple sortira un correctif pour cette faille, on pourra restaurer ARDAgent avant d'appliquer le correctif. La restauration se fait à l'aide des commandes:cd /System/Library/CoreServices/RemoteManagement/
sudo tar -xzf ARDAgent.app.gz​



Concernant l'idée de mettre à zéro l'indicateur "s" du fichier exécutable en faisant:sudo chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent​je confirme que cela n'est pas une solution viable, car à la première réparation des autorisations, l'indicateur est repositionné:

```
[COLOR="Teal"][I][B]Réparation des autorisations[/B]
Autorisations d'accès différentes sur
  ./System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent,
 elles devraient être -rwsr-xr-x  au lieu de -rwxr-xr-x [/I][/COLOR]
```


----------



## PA5CAL (25 Juin 2008)

Comme l'indique une très récente actu, l'affaire est (enfin !) sortie dans la presse américaine, avec quelques jours de retard sur votre serviteur.

Il n'empêche que l'article en profite pour faire de la pub à Security Fix, en prétendant (eux aussi) qu'ils ont étudié le code des malwares, alors que tous les éléments étaient clairement expliqués dans le fil des hackers (fil #8640 du forum MacShadows). Ils n'ont eu plus qu'à le lire... d'ailleurs, on peut raisonnablement se demander s'ils ont vraiment compris ce qu'ils ont lu, parce qu'ils sortent des  âneries aussi grosses que celles des articles qui traitaient de la propagation des "dangereux chevaux de Troie".

Voilà donc tout un monde qui vit sur notre sentiment d'insécurité et notre besoin d'information. Conseils en sécurité, éditeurs d'antivirus ou reporters, ils donnent tous dans le sensationnel et profitent de notre crédulité pour nous vendre leur camelote, et tant pis pour la vérité qu'on écorche...

Tout cela n'est vraiment pas beau  !


Au fait, il est à noter que les forums de MacShadows avaient bizarrement "sauté" depuis dimanche soir (ou après-midi, avec le décalage horaire), et qu'ils sont réapparus ce matin avec un accès beaucoup plus sélectif...


----------



## GraphiqueDesign (27 Juin 2008)

... et pour parler simplement, un soft type CLAMXAV, peut il quelque chose contre ces envahisseurs ou va t'il fatiguer la machine pour rien ???


----------



## PA5CAL (28 Juin 2008)

Faut-il rappeler que ces logiciels *ne sont pas des virus* ? Dans le cas présent, on n'a même pas affaire à des chevaux de Troie actifs.

Alors non, ClamXav ne les détecte pas, ni ne les traite, car il n'a aucune raison de le faire. Le site officiel de ClamXav le confirme d'ailleurs.

Dans le cas présent, si l'on devait éradiquer l'agent qui cause la propagation de l'«infection», il faudrait éliminer le type qui a les mains sur le clavier et la souris (ou le trackpad) du Mac, et qui est assez bête pour télécharger et exécuter un logiciel inconnu d'origine louche.

Bref, l'«antivirus» le plus adéquat pour se prémunir de AStht, c'est ça:






pour ceux qui ont ça dans la tête:


----------



## PA5CAL (1 Juillet 2008)

*Je confirme que la dernière mise-à-jour de sécurité (SecUpd2008-004PPC) ne règle pas le problème d'ARDAgent.*

Rappel: pour tester la faille, il suffit d'ouvrir Terminal et de taper:osascript -e 'tell app "ARDAgent" to do shell script "id -un"'​La première fois, la réponse donnée est "root" lorsque la faille est exploitable. Les fois suivantes, la réponse peut varier.


----------



## Anonyme (1 Juillet 2008)

Justement , j'allais demander porquoi apple avec la 10,5,4 n'a pas mis en plaçe une maj pour ce ARD agent..


----------



## PA5CAL (1 Juillet 2008)

etienne000 a dit:


> Justement , j'allais demander porquoi apple avec la 10,5,4 n'a pas mis en plaçe une maj pour ce ARD agent..


Peut-être pour la raison exposée au post #58 de ce fil. La faille n'est exploitable que par une personne ayant déjà accès au Mac. Sa correction n'est donc pas forcément prioritaire.


----------



## FredoMkb (1 Juillet 2008)

Bonjour à tous 

Alors, profitant de toutes les solutions prodiguées par PA5CAL dans ce fils de discussion, j'ai commis un petit script AppleScript pour traquer le troyen et pour sécuriser l'application "ARDAgent", ceci afin d'aider ceux qui hésitent à manipuler le terminal... donc, pour le télécharger ce petit script et pour apprendre à s'en servir, je vous invite à suivre un échange sur un forum Mac voisin, chez MacFr, par ici : *Le Troyen ASthtv05, Comment se protéger...*

Merci encore à PA5CAL pour toutes les infos utiles qu'il nous a communiqué, en espérant que ce petit script pourra rendre service à quelques uns...

à+


----------



## PA5CAL (4 Août 2008)

Un petit post pour indiquer (ou pour rappeler) que la faille exploitée par AStht a été corrigée dans la dernière mise-à-jour de sécurité de Mac OS X (versions 10.4.11 et 10.5.4).

La correction ne porte pas directement sur ARDAgent, mais sur OSA (_Open Scripting Architecture_), qui permettait de lancer des scripts hasardeux.



			
				support.apple.com a dit:
			
		

> *Security Update 2008-005
> 
> Open Scripting Architecture*
> 
> ...


----------

