Interview d'Intego
Le 8 Avril, en annonçant le premier troyen sous OS X, Intego a mis le feu dans la communauté Mac.
Laurent Marteau nous a ensuite permis de discuter avec le technicien qui a étudié le Troyen.
Il nous a expliqué en détail comment il avait été fabriqué et la manière dont il agit.
Il n'est, bien entendu, pas question que nous retranscrivions ce mode d'emploi sur Macbidouille. Nous allons donc vous donner des explications volontairement tronquées.
- Le troyen exécute du code Carbon. Il peut donc agir aussi bien sous OS X que sous les anciens OS. Mais sous OS9, il n'apparaît pas comme un fichier MP3, mais comme une application.
- Le code viral est caché au début de la partie données du fichier MP3, mais pour s'exécuter, il a besoin d'un très courte partie "ressources".
- Pour se cacher, il est masqué par un Tag ID3.
- Lorsque l'on double clique sur le fichier infecté, c'est le code viral qui s'exécute et déclenche le lancement d'iTunes pour lire le MP3. On voit donc dans le dock deux applications bondir en même temps.
- Le code du troyen actuel est encore à l'étude. Il pèse environ 20 Ko. Il fait des appels à Darwin et au Core Services. On est certain qu'il n'efface pas de fichiers et n'en modifie pas non plus.
- Sur des forums (on ne nous a pas donné d'URL) des personnes travaillent à modifier ce Troyen pour le rendre plus efficace, en particulier en masquant son lancement.
- Potentiellement, des tas de fichiers peuvent être infectés ; MP3, JPEG, GIF, AAC, MOV...
- Le Troyen ayant besoin de sa partie ressource pour s'exécuter, il ne peut circuler nu sur le Web, où elle serait détruite. Télécharger un MP3 en P2P est sans danger, sauf s'il est compressé en .sit/.sitx ou en .zip crée sous OS X.
- Mail.app, Entourage et iDisk préservent la partie ressource, car les fichiers sont encodés (et pas compressés) au format BinHex.
- Actuellement, Virus Barrier bloque ce Troyen et devrait bloquer ceux qui en sont directement dérivés.
- Les faux positifs enregistrés par le logiciels sont en fait de vrais-faux positifs. Il semble que certains éditeurs de logiciels aient caché au début de fichier data du code de protection ou des numéros de série qui provoquent l'alerte.
Propos recueillis par Lionel
Il nous a expliqué en détail comment il avait été fabriqué et la manière dont il agit.
Il n'est, bien entendu, pas question que nous retranscrivions ce mode d'emploi sur Macbidouille. Nous allons donc vous donner des explications volontairement tronquées.
- Le troyen exécute du code Carbon. Il peut donc agir aussi bien sous OS X que sous les anciens OS. Mais sous OS9, il n'apparaît pas comme un fichier MP3, mais comme une application.
- Le code viral est caché au début de la partie données du fichier MP3, mais pour s'exécuter, il a besoin d'un très courte partie "ressources".
- Pour se cacher, il est masqué par un Tag ID3.
- Lorsque l'on double clique sur le fichier infecté, c'est le code viral qui s'exécute et déclenche le lancement d'iTunes pour lire le MP3. On voit donc dans le dock deux applications bondir en même temps.
- Le code du troyen actuel est encore à l'étude. Il pèse environ 20 Ko. Il fait des appels à Darwin et au Core Services. On est certain qu'il n'efface pas de fichiers et n'en modifie pas non plus.
- Sur des forums (on ne nous a pas donné d'URL) des personnes travaillent à modifier ce Troyen pour le rendre plus efficace, en particulier en masquant son lancement.
- Potentiellement, des tas de fichiers peuvent être infectés ; MP3, JPEG, GIF, AAC, MOV...
- Le Troyen ayant besoin de sa partie ressource pour s'exécuter, il ne peut circuler nu sur le Web, où elle serait détruite. Télécharger un MP3 en P2P est sans danger, sauf s'il est compressé en .sit/.sitx ou en .zip crée sous OS X.
- Mail.app, Entourage et iDisk préservent la partie ressource, car les fichiers sont encodés (et pas compressés) au format BinHex.
- Actuellement, Virus Barrier bloque ce Troyen et devrait bloquer ceux qui en sont directement dérivés.
- Les faux positifs enregistrés par le logiciels sont en fait de vrais-faux positifs. Il semble que certains éditeurs de logiciels aient caché au début de fichier data du code de protection ou des numéros de série qui provoquent l'alerte.
Propos recueillis par Lionel