Existence de Keylogger?

A

Ajy

Membre enregistré
18 Juin 2009
7
0
Bonjour à tous,

Je poste ce message aujourd'hui car je suis un peu inquiet quant a la securité de ma machine a l'heure actuelle... Parano ou pas, a vous de me le dire...
Je suis joueur de World of Warcraft et ce matin, en me levant, j'ai eu l'agréable surprise de m'apercevoir que mon compte avait été ban pour activité non conforme au réglement, et ce durant la nuit (pendant laquelle je dormais). Ce qui m'inquiete le plus n'est pas ce ban (ca peut etre une erreur de leurs services), mais surtout que j'ai recu 3 mails entre 3h et 6h du mat (je dormais encore...) pour me signaler que "je désirais changer mes mots de passe", chose a laquelle on ne peut acceder qu'en etant titulaire de l'actuel mot de passe. Ces tentatives de changement de mot de passe en plus du ban ont donc éloigné toute pensée de "blague" par mon frangin (qui possede egalement mes accès).

J'en suis venu à la réflexion qu'il devait s'agir d'un keylogger, ne voyant pas d'autre possibilité à ce piratage nocturne.

Après avoir fait une brève recherche en ligne sur les antivirus Mac existant, la plupart des réponses disent que les antivirus Mac sont intégrés au système mais ne me permettent pas de lancer une vérification en cas d'un éventuel virus/trojan/keylogger...

Ma question serait de savoir où et comment je serai en mesure de faire ces vérifications et de supprimer un éventuel keylogger sans avoir à reformater la machine.

Merci d'avance
 
Une question : ce mot de passe est le mot de passe pour se logger sur WoW en ligne, non ?
Autrement dit, ce n'est pas directement lié au fait d'utiliser WoW sur le Mac : le piratage peut venir de l'extérieur.
 
C'est le cas mais étant donné que je suis le seul a me connecter sur ce compte et que je ne le fais que depuis mon portable je ne vois pas comment cela pourrait venir de l'extérieur...
 
Ajy a dit:
je ne vois pas comment cela pourrait venir de l'extérieur...
Cliquez pour agrandir...
Par exemple:
• La transmission du mot de passe a pu être interceptée sur le réseau local (si tu es en Wifi notamment) ou sur Internet.
• La base de données du serveur distant qui contient tes informations de connexion a pu être piraté.
• Si le pirate a réussi à hacker le serveur WoW, il est possible qu'il n'ait pas eu besoin de ton mot de passe pour jouer.
...

La présence d'un keylogger sur ton Mac est toujours possible (surtout si tu l'as laissé ouvert sans surveillance ou si tu as téléchargé un logiciel d'origine douteuse), mais c'est loin d'être la seule éventualité.
 
Le fait d'avoir reçu trois messages pour changement de mot de passe est un peu curieux : si on connaît ton mot de passe, on n'a pas besoin de trois tentatives pour en changer.

Si tu veux savoir ce qui se passe sur ta machine, tu peux commencer par en lister les applications qui tournent (avec le Moniteur d'Activité). Commence par la débrancher du réseau.
 
d'apres le mail que je viens de recevoir de Blizzard il s'agirait d'un Keylogger. Le probleme c'est que je n'ai aucune idée de comment le trouver sur un Mac ni comment le virer...
Je suis allé jeter un coup d'oeil sur le moniteur d'activité mais ca ne m'aide pas vraiment a en detecter les anomalies, sachant que pas mal d'activités sont des dérivées d'autres appli ou autres...
 
C'est sûr que c'est fastidieux mais il faut s'y atteler.

Tu peux commencer par recenser et nous lister ici les services présents dans :
  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  • /Library/StartupItems/
  • /System/Library/LaunchAgents
  • /System/Library/LaunchDaemons
  • /System/Library/StartupItems/
  • ~/Library/LaunchAgents

Tu peux lister l'ensemble des processus actifs avec la commande
Bloc de code: 
ps auxwww
.
 
De mon côté, je continue de penser que lorsqu'on a un mot de passe, on n'a pas besoin de trois tentatives pour en changer ...
 
bompi a dit:
C'est sûr que c'est fastidieux mais il faut s'y atteler.

Tu peux commencer par recenser et nous lister ici les services présents dans :
  • /Library/LaunchAgents
  • /Library/LaunchDaemons
  • /Library/StartupItems/
  • /System/Library/LaunchAgents
  • /System/Library/LaunchDaemons
  • /System/Library/StartupItems/
  • ~/Library/LaunchAgents

Tu peux lister l'ensemble des processus actifs avec la commande
Bloc de code: 
ps auxwww
.
Cliquez pour agrandir...



  • /Library/LaunchAgents : com.apple.SafariBookmarksSyncer.plist
  • /Library/LaunchDaemons : je ne l'ai pas dans la library user, uniquement dans la library system
  • /Library/StartupItems/ : idem

  • /System/Library/LaunchAgents : com.hp.launchurlagent.plist
  • /System/Library/LaunchDaemons : com.dilaroga.itaf_d.plist
  • /System/Library/StartupItems/ : vide
  • ~/Library/LaunchAgents : a quoi fais tu référence ? :x

J'ai le listing des processus actifs, ca risque de prendre un paquet de place si je le copy/paste ici... Y a-t-il un element spécifique que je dois chercher dedans? (sinon ca ne me pose pas de probleme de le poster ici ou en PM a quelqu'un :p)

Apres ouais la réponse de Blizzard a ete la suivante :

!! ATTENTION: !!
Votre compte a été compromis suite à l'infection de votre (vos)
ordinateur(s) par un virus de type Keylogger.
Cliquez pour agrandir...

Donc j'avoue qu'ils ne cherchent peut etre pas a fond mais c'est a priori le seul
élément que j'ai.
Quant aux plusieurs tentative de changement de mot de passe je ne vois pas
d'ou ca vient non plus, sachant qu'il y a eu a peu pret 3h d'intervalle entre les 2
tentatives d'apres les mails que j'ai recu...

En tout cas merci de votre aide jusqu'a présent, en espérant pouvoir resoudra ca au plus vite
 
Ajy a dit:
Apres ouais la réponse de Blizzard a ete la suivante :
!! ATTENTION: !!
Votre compte a été compromis suite à l'infection de votre (vos)
ordinateur(s) par un virus de type Keylogger.
Cliquez pour agrandir...
Cliquez pour agrandir...
À moins qu'ils aient eux-mêmes infecté ta machine avec un keylogger ou un Trojan, Blizzard n'a strictement aucun moyen de savoir ce qui se passe sur ta machine.

Par ce message, ils réfutent seulement leur responsabilité dans le problème, quand bien même ils en seraient finalement à l'origine. C'est une façon de te persuader que si quelque chose ne va pas, c'est forcément de ta faute... et ça a l'air de marcher.


Demande-leur plutôt l'adresse IP de la personne qui a usurpé ton identité sur leur serveur. S'ils conservent les logs de connexion (ce qui est très probable), ils ont forcément l'information.
 
Un article de Vous et Votre Mac 48 a vanté MacScan comme étant le seul anti-spyware/malware/keylogger disponible pour Mac : "MacScan correspond bien aux menaces qui pèsent aujourd’hui vraiment sur Mac OS X. "

L'affirmation m'a laissé dubitatif :hein: (et j'aurais bien aimé avoir plus d'informations),
mais le logiciel existe.
 
Je trouve étonnant que tu aies aussi peu de fichiers dans les répertoires mentionnés : il devrait au moins y avoir tous les fichiers qu'installe Apple (et ils sont assez nombreux).

Quant à ~/Library/LaunchAgents c'est un répertoire dans la bibliothèque de ton compte utilisateur. Ce sont des agents qui sont lancés au login [genre synchronisation MobileMe, agent Google de vérification de mise à jour etc.]
 

Sujets similaires

M
keylogger introuvable
Réponses
2
Affichages
2K
macOS
maion
M
A
Solution Freebox Hd Wifi & Mac Airport
Réponses
5
Affichages
5K
FAI et réseau Mac
abracadaprod
A
Amok
  • Fermé
Consignes pré et post-AES pour les nioubs.
Réponses
53
Affichages
4K
La terrasse
Nephou
Nephou
Haut Bas