falou Posted June 20, 2008 Share Posted June 20, 2008 Une faille importante dans ARDagent a été exploitée par un Trojan (Troyen, cheval de Troie...) nommé AppleScript.THT. Il transforme le firewall en gruyère, peut permettre la prise de contrôle distante, exécuter du code malicieux, le tout en tant que root, transmettre les mots de passe. Bref c'est méchant. Les noms des fichiers transférés originels sont ASthtv05 (AppleScript) ou AStht_v06(application). Il s'implante après dans /Bibliothèque/Caches. MacScan 2.5.2 est capable de la virer ça, entre autres cochonneries tout comme Virus Barrier. L'activation de Gestion à distance (dans Partage du panneau de contrôle) contrerait les effets pervers de ce Trojan. Pour info il peut être utilisé à la place de partage d'écran; il gère VNC et permet d'être informé quand on se connecte sur l'ordinateur. Sources: SecureMac et Macbidouille. PS: rappelez-vous que là où on risque le plus de récupérer des cochonneries sont les sites X et le p2p. Link to comment Share on other sites More sharing options...
Ryu Posted June 21, 2008 Share Posted June 21, 2008 Oulà il a l'air sérieux celui là Juste pour savoir, il sert à quoi ARDagent ? Tout les Macs sont concernés ? Merci pour ce post en tout cas Falou :copain: Link to comment Share on other sites More sharing options...
falou Posted June 21, 2008 Author Share Posted June 21, 2008 C'est une sorte de processus client pour Apple Remote Desktop. C'est de l'Applescript donc oui ça peut toucher tout Mac sous OS X 10.4 et 10.5 Link to comment Share on other sites More sharing options...
Ryu Posted June 21, 2008 Share Posted June 21, 2008 Oki, je ferais un scan sur mon iBook avec MacScan alors, merci Edit : Scan effectué sur l'iBook et RAS :copain: Link to comment Share on other sites More sharing options...
falou Posted June 21, 2008 Author Share Posted June 21, 2008 Moi il m'a toruvé des cookies espions dans Firefox. Link to comment Share on other sites More sharing options...
kyro Posted June 21, 2008 Share Posted June 21, 2008 evite les site de pr0n Falou Link to comment Share on other sites More sharing options...
falou Posted June 21, 2008 Author Share Posted June 21, 2008 Site de quoi ? Apparemment c'étaient des machins pour de balancer des pubs selon les sites visités; ce qui explique que je n'ai pas le souci avec Safari (plus strict avec les cookies et adblock) Link to comment Share on other sites More sharing options...
kyro Posted June 21, 2008 Share Posted June 21, 2008 Raah, Laisse tombé si tu comprend pas Link to comment Share on other sites More sharing options...
falou Posted June 21, 2008 Author Share Posted June 21, 2008 Raah, Laisse tombé si tu comprend pas Toi laisse tomber... C'était une façon de faire comprendre que ça risquait pas d'arriver... Link to comment Share on other sites More sharing options...
LeMarcus Posted June 24, 2008 Share Posted June 24, 2008 Salut à tous, j'ai utilisé le script suivant : tell application "ARDAgent" to do shell script "chmod u-s /System/Library/CoreServices/RemoteManagement/ARDAgent.app/Contents/MacOS/ARDAgent" et ensuite pour vérifier si cela avait fonctionné : tell application "ARDAgent" to do shell script "whoami" Seulement il ne me renvoit pas un message d'erreur, dans la petite fenêtre de l'éditeur de script il m'indique "Marcus" ... Cela veut dire que la faille est toujours accessible ? Link to comment Share on other sites More sharing options...
JeremyF Posted June 24, 2008 Share Posted June 24, 2008 Non, si ça avait affiché "root", là la faille était encore présente. Mais dans ton cas, le message d'erreur et ton nom de session indique qu'il n'utilise plus les droits root. Link to comment Share on other sites More sharing options...
Metal_Snake Posted June 24, 2008 Share Posted June 24, 2008 Bon j'ai fait la manip, qui me répond mon login, même après avoir quitté l'éditeur de script sans enregistrer. Donc la faille semble être bouchée chez moi. Link to comment Share on other sites More sharing options...
JeremyF Posted June 24, 2008 Share Posted June 24, 2008 Moi j'm'emmerde pas tant, je sais que je télécharge ni n'exécute n'importe quoi à tout va. Même sur Windows, sans vraiment de protection, je reste clean Link to comment Share on other sites More sharing options...
falou Posted June 24, 2008 Author Share Posted June 24, 2008 Pareil pour moi. Ces annonces rendent nerveux, mais on sait bien où on récupère ces machins en général. Link to comment Share on other sites More sharing options...
Ryu Posted June 24, 2008 Share Posted June 24, 2008 Idem pour moi, mes windows sont sains généralement :) Link to comment Share on other sites More sharing options...
tsubasaleguedin Posted June 24, 2008 Share Posted June 24, 2008 Si c'est une faille systeme t'a pas a aller sur un site X ou je sais pas quoi. Dans le cas d'une faille systeme ( comme blaster ), ce sont des programmes qui scan les plages ip et balance les paquets en question au service concerner. Pas besoin d'action de l'utilisateur ! Si c'est une faille systeme, il reste a esperer que apple diffuse rapidement un fix. Link to comment Share on other sites More sharing options...
Metal_Snake Posted June 24, 2008 Share Posted June 24, 2008 Moi j'm'emmerde pas tant, je sais que je télécharge ni n'exécute n'importe quoi à tout va. De même. Mais bon, il y a une solution, alors plutôt que de tenter le diable... Link to comment Share on other sites More sharing options...
JeremyF Posted June 24, 2008 Share Posted June 24, 2008 C'est pas tenter le diable que de savoir ce qu'on fait. Link to comment Share on other sites More sharing options...
Metal_Snake Posted June 24, 2008 Share Posted June 24, 2008 C'est pas tenter le diable que de savoir ce qu'on fait. Non ce que je voulais dire ce que si tu as un verrou pour fermer une porte sachant qu'il y a un violeur dehors, même si tu habites au fin fond d'une forêt à 200km de là, ça ne coute rien de fermer... Link to comment Share on other sites More sharing options...
falou Posted June 24, 2008 Author Share Posted June 24, 2008 Il est dans la nature humaine de combler les trous Link to comment Share on other sites More sharing options...
PoSKaY Posted June 24, 2008 Share Posted June 24, 2008 Mouais, j'ai rien fait sur aucun de mes 2 Macs et c'est pas au programme ... Vu ce que je fais actuellement je peux bien attendre la màj de sécu. Link to comment Share on other sites More sharing options...
l1086 Posted June 24, 2008 Share Posted June 24, 2008 Bonsoir, j'ai voulu testé voire si j'avais cette faille en faisant donc : tell application "ARDAgent" to do shell script "whoami" Mais voilà appel script me sort un belle erreur Erreur dans ARDagent : Délai depassé pour AppleEvent c'est normal ou pas ? Link to comment Share on other sites More sharing options...
Metal_Snake Posted June 25, 2008 Share Posted June 25, 2008 Vous ne trouvez pas qu'Apple est bien longue à réagir d'ailleurs? Surtout vu le délai qu'a mis la solution "amateur" pour apparaître Link to comment Share on other sites More sharing options...
falou Posted June 30, 2008 Author Share Posted June 30, 2008 La 10.5.4 ne semble pas boucher se trou... Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.