blog à part

Il y a quelques jours, Intego annonçait la découverte d’un « cheval de troie » sur Mac OS X. Cet article n’a pas pour but de discuter de la futur apocalypse que certains prédisent pour le Mac mais de l’aspect technique dudit trojan.

Qu’est-ce qu’un cheval de troie (ou trojan horse) ? 

           

Il s’agit d’un fichier qui se fait passer pour quelqu’un d’autre, d’apparence inoffensif pour ne pas susciter la méfiance de sa victime. On avait déjà vu ce genre de fichier avec « mp3concept » qui se faisait passer pour un fichier mp3 alors qu’en fait il exécutait des tâches. Cependant il s’agissait d’un concept et il n’a jamais été question qu’il s’agisse d’un vrai trojan dans le but de nuire.

           

Le nouveau trojan, décortiqué

           

Pour être infecté, l’utilisateur doit d’abord se rendre sur un site spécifique (une 60aine de sites à caractère pornographique auraient déjà étés répertoriés) qui va proposer au visiteur de télécharger un « codec » (comprenez, une application qui permet de lire un certain type de fichier vidéo). Une fois téléchargé, un programme d’installation sur votre Mac s’ouvre et vous propose d’installer le fichier que l’on vient de télécharger. L’utilisateur doit ensuite entrer son mot de passe et c’est à ce moment-là que l’ordinateur devient contaminé.Soyons clairs, il ne s’agit en aucun cas d’une faille de Mac OS X, mais plutôt d’une faille de l’utilisateur qui est assez naïf pour fournir son mot de passe à une application téléchargée sur un site douteux.

           

Alors, que s’est-il passé lors de l’installation

           

Après avoir fourni son mot de passe, un script dit de « preinstall » est lancé. Celui-ci fait deux choses:

il modifie vos serveurs DNS

il s’ajoute à crontab

Explications: Un serveur DNS est un ordinateur connecté à Internet qui change les adresses URL (ou « liens internet ») en adresse IP. Par exemple, si je tape « www.google.com » dans Safari, alors celui-ci va contacter mon serveur DNS qui va changer www.google.com en « 64.233.183.99″. Il s’agit d’une adresse IP, et c’est à partir de là que Safari va pouvoir afficher les page d’accueil de Google. Imaginez maintenant que quelqu’un modifie votre configuration réseau pour rediriger Safari vers un DNS qu’il a sous contrôle. Alors ce serveur DNS, lorsqu’il reçoit la demande de changer « www.google.com » en adresse IP, peut très bien fournir l’IP d’un autre site web. En deux mots: vous tapez google.com mais c’est un AUTRE site qui s’affiche ! Pourquoi faire cela ? Parce qu’en réalité, ce DNS vous redirige vers une page d’apparence identique au site demandé mais qui est en fait contrôlé par un pirate. Ainsi si vous allez sur « ebay.com » par exemple, il affichera une page identique au site officiel et il pourra récupérer votre mot de passe lorsque vous le taperez. Cette pratique est connue sous le nom de « physhing ».

          

D’autre part, le script s’ajoute à crontab. En fait cela veut dire que le script demande à votre Mac de pouvoir se re-exécuter toutes les minutes. Ainsi, si vous changez manuellement votre DNS, une minute plus tard il sera systématiquement re-changé par le trojan.

          

En plus de tout cela, le trojan installe un faux plugin internet dans le dossier « /Bibliothèque/Internet Plug-Ins » ainsi que deux fichiers script dans ce même dossier. Le but du faux plugin est de faire croire que quelque chose de normal a effectivement été installé. En réalité ce faux plugin est vide et ne fait rien de chez rien. Les autres fichiers scripts sont:

Un script qui est en fait celui qui est exécuté par crontab

Un script qui envoie une requête à un serveur pirate pour signaler que notre machine est infectée

Ce dernier envoie au serveur 85.255.121.xx une requête http qui contient dans l’entête le nom d’hôte de votre Mac (tapez « hostname » dans le terminal pour le voir) et aussi le résultat de la commande « uname -p » tous deux encodés en base64 pour ne pas éveiller de soupçons si quelqu’un venait à analyser le traffic Internet sortant.

           

Comment savoir si je suis infécté

           

La façon la plus simple, est d’ouvrir votre disque de démarrage (celui sur lequel se trouve le système), puis d’aller dans le dossier « Bibliothèque » puis « Internet Plug-Ins ». Vous êtes infecté si au moins l’un des fichiers suivant est visible: « Mozillaplug », « plugins.settings » ou « sendreq ». Cependant il existe des variantes de ce trojan qui pourrait avoir changé le nom de ces fichiers. Le simple fait d’effacer ces fichiers ne suffit pas à désinfecter votre ordinateur. En effet les serveurs DNS piratés sont toujours là et ne peuvent pas être modifiés en passant par les préférences système (toujours selon Intego).

         

Une autre façon est de taper

sudo crontab -l                     

dans le terminal. Votre mot de passe sera demandé, après quoi une liste pourrait s’afficher. Si elle contient « plugins.settings » alors vous êtes infecté. A nouveau, les variantes de ce trojan pourraient avoir changé ce nom.

         

Une autre façon encore, qui ne marche que sous Leopard, est d’ouvrir les préférences système et d’aller sous Réseau. Il y a un champ marqué « Serveur DNS ». Si vous pouvez voir une adresse du type « 85.255.11x.xxx » alors vous êtes infecté. Elle pourrait apparaître en gris-clair plutôt qu’en noir et donc on ne peut pas l’effacer. Je n’ai pas testé cela personnellement.

           

 Finalement, il existe une dernière façon. C’est de taper dans le Terminal:

scutil –dns | grep 85.255.11               

 Si quelque chose apparaît, alors vous êtes contaminé.

       

Comment désinfecter ma machine contaminée ?

           

Tout d’abord effacez tous les fichiers suspects dans le dossier « Internet Plug-Ins ». A ce point-là, la tâche crontab programmée ne pourra plus s’effectuer même si elle existe toujours. On peut l’effacer avec un programme tel que celui-ci. On peut aussi passer par le terminal en tapant

sudo crontab -e                     

A condition de savoir utiliser l’éditeur « Vi » ce qui n’est pas mon cas. Notez qu’en effaçant tous les fichiers dans ce dossier vous risquez de supprimer aussi des plugins Internet qui ne sont peut-être pas des trojans horses, mais des plugins normaux que vous utilisez. Au pire des cas il suffira de les réinstaller lorsque Safari vous le proposera.

         

Ensuite il va falloir effacer les serveurs DNS qui ont été ajoutés. Pour cela il faut utiliser scutil. Malheureusement je ne suis pas encore au clair quant à son utilisation. Cet article sera mis à jour dès qu’une solution pour ce dernier point sera trouvée. En attendant, ne téléchargez pas n’importe quoi, et ne donnez pas votre mot de passe à n’importe quelle application !

Cette entrée a été publiée le Samedi 3 novembre 2007 à 4:03 , et rangée dans Informatique, Sécurité. Vous pouvez suivre les réponses à cette entrée via son flux RSS 2.0. Vous pouvez laisser un commentaire, ou faire un rétrolien depuis votre site.