‘Opener’ : virus, cracker ou RootKit? MàJ
La machine de l’un des lecteurs de MacInTouch semble avoir été soit contaminée par un virus, soit manuellement infectée par un ‘craqueur de mots de passes’, soit par un Trojan permettant au dit cracker de s’introduire dans la machine pour y barboter le trousseau de clés de l’admin.
Alerté par le comportement tout à coup Wintelien de son Mac, ledit lecteur a verifié dans ses logs pour finir par n’y trouver… aucune trace des agissements d’un nommé “John”, le moniteur dénonçant une activité occupant pratiquent l’intégralité du travail du processeur.
Un éxécutable appelé “opener”, se trouvait dans le dossier
/bibliothèque/StartupItems/
accompagné de force commentaires et avec pour vocation de faire un certain nombre de dégâts sur le disque de son hôte : récupérer les trousseaux de mots de passe pour tous les utilisateurs, les décrypter avec votre propre Mac, activer le partage de fichiers et placer toutes les infos ainsi subtilisées dans un dossier invisible, appelé .info et et placé dans le dossier ‘public’… en attendant qu’on veuille bien venir les chercher…
La discussion se poursuit pour savoir s’il s’agit vraiment d’un virus, ou bien d’un script installé manuellement par une personne physiquement présente devant le clavier. Le code par lui-même semble être la dernière évolution de ‘John the Ripper‘, un craqueur de passes pour UNIX, lui même faisant possiblement partie d’un ‘RootKit'”, panoplie installée sur une machine pour tenter d’en exploiter les droits d’administrateur…
Entre autres joyeusetés, le ‘Malware’ tente d’installer en ‘loucedé’ un programme de teleconférence (est-ce pour compter vos allées et venues jusqu’à la machine à café?), désactiver le FireWall, installer un enregistreur de mots de passe, récupère vos numéros de licence, les noms d’utilisateurs d’applicatifs en réseau, vos logs… et bien entendu ouvre un compte utilisateur qui lui donne accès à votre machine, tout en ayant soin d’ouvrir une backdoor pour le cas où celui-ci serait détruit…
Personne chez Apple n’était disponible pour réagir, mais on imagine que la cellule de crise qui planche 24h/24 en cas d’alerte sécurité doit être sur le pied de guerre. On se souvient que lors d’un précédent qui s’était révélé émotif, les vendeurs d’anti-virus s’étaient bousculés pour annoncer qu’ils avaient mis en place une solution. En attendant la mise à jour d’Apple, DaveTaylor de MacInTouch recommande de vérifier l’intégrité de son système avec la commande suivante dans le terminal :
sudo ls -l /Users/*/Public/.info
Si votre machine est indemne de toute corruption, vous devez obtenir la réponse suivante :
ls: /Users/*/Public/.info: No such file or directory
Si vous avez une autre réponse, il faut aller voir dans le répertoire /Bibliothèque/StartupItems à la racine du disque dur ce qui s’y passe…
Et nous ne saurions trop alors vous conseiller de provisoirement déconnecter physiquement votre machine de tout accès au réseau…
Merci à PatPro pour les corrections… :langue
