Proof of Concept - Le ver Renepo cible les machines Mac OS X

 

F-VNS SECURITY v2.0 - Le service de veille personnalisée, destiné aux responsables sécurité des systèmes d'information (RSSI) et directeurs informatiques » Offre d'essai de 15 jours

SH/Renepo-A est un shell worm (en version Proof of Concept non diffusée sur internet) ciblant la plate-forme Macintosh OS X. S'il est exécuté sur une machine, il se copie dans le répertoire de démarrage local (/System/Library/StartupItems) et sur tous les volumes montés, y compris les différents ordinateurs du réseau. SH/Renepo-A modifie les permissions de StartupItems (devient accessible en écriture).

L'infection par ce ver nécessite un accès root. Une fois SH/Renepo-A exécuté, il compromet la sécurité du système de plusieurs manières y compris :

  • en désactivant le pare-feu OS X
  • en désactivant les mises à jour automatiques
  • en désactivant LittleSnitch
  • en activant le partage de fichiers
  • en activant sshd
  • en rendant des fichiers système disponibles en écriture
  • en installant ohphoneX (un programme de partage vocal et vidéo pour OS X)
  • en installant John the Ripper
  • en installant dsniff (un sniffer)
  • en enregistrant sur un serveur distant les numéros IP des ordinateurs infectés
  • en créant un répertoire dans lequel seront stockées certaines données collectées (/.info)
  • en capturant des données concernant les applications, les utilisateur et le système
  • en collectant les mots de passe Samba
  • en collectant les mots de passe VNC
  • en créant un nouvel utilisateur ayant des privilèges administrateur (LDAP-daemon)
     

F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits