IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Katleen Erna
    Profil pro
    Inscrit en
    Juillet 2009
    Messages
    1 547
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 547
    Points : 76 188
    Points
    76 188
    Par défaut Un malware embarqué dans des images se propage sur 4Chan et infecte de nombreux ordinateurs d'après Microsoft
    Un malware embarqué dans des images se propage sur 4Chan et infecte de nombreux ordinateurs d'après Microsoft

    Un malware inclus dans des fichiers image vient d'être identifié par le MMPC (Microsoft Malware Protection Center).

    Il s'agit d'un script malicieux qui circule actuellement sur les forums de discussion de 4chan.org (BBS anglophone très populaire crée en 2003, constitué d'un réseau d’imageboards) qui serait en fait l'évolution de 4chan.js (une menace qui circulait de la même manière en 2008).

    Le fichier .PNG infecté compresse les données dans un format quasiment inoffenssif et les stocke ainsi dans l'image.

    Le .PNG se présente comme une image qui donne les instructions suivantes : "Sauvegardez-moi en tant que .BMP avec une extension .HTA". Dans ce cas, le fichier décompressé contient une image, un peu de code JavaScript (identifié comme le Trojan:JS/Chafpin.gen!A décliné en trois versions différentes suivant les auteurs), et quelques fichiers exécutables, selon les informations fournies par les chercheurs de Microsoft.

    Le malware serait de plus capable de déjouer la protection CAPTCHA de 4Chan et de se propager tout seul sur les forums de discussion.

    Les trois variantes du trojan varient selon la méthode employée par leur concepteur. Dans la plus récente, le bitmap est crée avec des variables aléatoires a chaque fois qu'il est lancé.

    Le MMPC précise que 4Chan "prend des mesures pour endiguer les infections des utilisateurs en fermant les sujets concernés", en ajoutant qu'il est fermement déconseillé d'exécuter "tout type de fichier .HTA".

    Source : Le MMPC

    Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?

  2. #2
    Membre actif
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2008
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2008
    Messages : 132
    Points : 290
    Points
    290
    Par défaut
    Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?
    Désolé d'être un peu sarcastique mais cette question revient, pour moi, à poser une autre question qui est: "Pourquoi tout le monde n'est pas informaticien? il y aurait beaucoup moins d'erreurs de manipulation à gérer"

    Après on peut s'amuser à remplacer le mot en gras à souhait

  3. #3
    Membre expérimenté
    Profil pro
    Inscrit en
    Juillet 2005
    Messages
    690
    Détails du profil
    Informations personnelles :
    Localisation : Réunion

    Informations forums :
    Inscription : Juillet 2005
    Messages : 690
    Points : 1 647
    Points
    1 647
    Par défaut
    y'a un truc que je ne pige pas quand même....

    comment un .PNG peut t-il être infecté par un virus ? je comprends pas trop là...

  4. #4
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2005
    Messages
    27 369
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 27 369
    Points : 41 518
    Points
    41 518
    Par défaut
    Ce n'est pas un virus, c'est du social engineering: En gros, il signifie "créez SVP un .hta contenant le code malveillant".
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  5. #5
    ILP
    ILP est déconnecté
    Membre confirmé
    Avatar de ILP
    Homme Profil pro
    Analyste programmeur
    Inscrit en
    Mai 2002
    Messages
    258
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Analyste programmeur
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mai 2002
    Messages : 258
    Points : 607
    Points
    607
    Par défaut
    Si j'ai bien compris le post de MMPC, le fichier PNG en lui même n'est pas infecté. Mais il a était conçu de telle façon a ce que si on l'enregistre en BMP (clique droit, Enregistrer l'image sous…). Et qu'à la place de l'extension BMP on utilise l'extention HTA (HTML Application). On se retrouve avec un petit script exécutable contenant le malware.
    Voici un aperçu du contenu du fichier PNG lorsqu'il est enregistré en BMP :

  6. #6
    Membre émérite
    Inscrit en
    Avril 2010
    Messages
    1 495
    Détails du profil
    Informations forums :
    Inscription : Avril 2010
    Messages : 1 495
    Points : 2 274
    Points
    2 274
    Par défaut
    heureusement que le fichier ne disait pas "jetez-vous par la fenêtre"

  7. #7
    Membre du Club
    Profil pro
    Inscrit en
    Janvier 2010
    Messages
    17
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Janvier 2010
    Messages : 17
    Points : 52
    Points
    52
    Par défaut
    He bien, on parle maintenant de 4chan sur le dvp.com... Ce genre d'attaque n'est pas nouveau, juste une petite variation moins connue que les .js (Pour info, le .js était une image noir avec qui demandait d'enregistrer cette image en .js et de l'exécuter. Le script ne faisait que se spammer lui-même bref, pendant quelques heures 4chan était spammer par des milliers de personnes involontairement). C'est juste que maintenant on utilise le format .hta qui est moins connu que .js . S'il fonctionne avec le même principe que les .js un simple reboot et on n'en parle plus. Mais bon tant qu'il y aura des «newfags» sur 4chan c'est le genre de truc qui arrive de temps en temps.

  8. #8
    Nouveau membre du Club
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Août 2010
    Messages
    24
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Août 2010
    Messages : 24
    Points : 34
    Points
    34
    Par défaut
    Très bonne réponse nickyla ! +1

  9. #9
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    N'empèche... Faut quand même être c*n (ou ignorant) pour faire une manip qu'on ne connait pas avec un fichier douteux trouvé par hasard sur internet...

    A votre avis, si je fais une image noire avec écrit dedans "Lancez CMD (en admin pour Vista/7), tapez FORMAT C: /Q /X, appuyez sur Entrée, O et de nouveau Entrée" et que je la diffusais sur internet, combien de personnes le feraient?

    Si une véritable étude était faite à ce sujet, je suis sûr que le résultat étonnerai pas mal de monde...

    Cette histoire me rapelle un Proof of Concept qu'un ancien ami de bahut qui se qualifiait de hacker-blanc (qui utilise ses compétences à des fins de tests de sécurité pour des entreprises notamment : il sont par exemple payés pour tenter de pirater le réseau de l'entreprise cliente et ainsi en tester la sécurité). Il a crée une réplique de la page d'accueil de hotmail (un bon vieux copier-coller du code HTML), mais dans laquelle il a ajouté un petit script qui enregistre les identifiants entrés sur le serveur avant de rediriger l'utilisateur vers la vrai page d'accueil et un message d'avertissement, en rouge, juste sous la case où l'on tape son MdP, expliquant que la page est factice et que les identifiants seront enregistrés. Il a ensuite envoyé des e-mails bidon (du texte tout simple et un lien HTML) à des adresses mail glanés ça et là sur la toile, disant que, par suite d'un problème technique, il fallait, pour continuer à utiliser hotmail, cliquer sur le lien et se logger.

    En une semaine, il y'avait 43 identifiants sur 100 mails envoyés...
    Presque la moité en une seule semaine!

  10. #10
    Expert éminent sénior
    Avatar de Médinoc
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Septembre 2005
    Messages
    27 369
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2005
    Messages : 27 369
    Points : 41 518
    Points
    41 518
    SVP, pas de questions techniques par MP. Surtout si je ne vous ai jamais parlé avant.

    "Aw, come on, who would be so stupid as to insert a cast to make an error go away without actually fixing the error?"
    Apparently everyone.
    -- Raymond Chen.
    Traduction obligatoire: "Oh, voyons, qui serait assez stupide pour mettre un cast pour faire disparaitre un message d'erreur sans vraiment corriger l'erreur?" - Apparemment, tout le monde. -- Raymond Chen.

  11. #11
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2005
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2005
    Messages : 41
    Points : 70
    Points
    70
    Par défaut
    Cela me rappelle les fameux virus fainéants qui circulaient à une époque qui expliquaient à l'utilisateur qu'il était surement infecté par un terrible (son d'ambiance sinistre) virus mais qu'il lui suffisait de le supprimer à la main dans son répertoire windows (et de bien penser à faire suivre l'email à tous ces autres collègues qui vous en remercieraient éternellement).

    Cela ressemble plus à une attaque ciblée pour discréditer un site qu'un véritable virus.

  12. #12
    Membre confirmé
    Inscrit en
    Février 2010
    Messages
    230
    Détails du profil
    Informations forums :
    Inscription : Février 2010
    Messages : 230
    Points : 581
    Points
    581
    Par défaut
    Certes, mais d'autres pourrait exploiter ce concept pour diffuser un véritable virus...

  13. #13
    Candidat au Club
    Inscrit en
    Juin 2010
    Messages
    2
    Détails du profil
    Informations forums :
    Inscription : Juin 2010
    Messages : 2
    Points : 3
    Points
    3
    Par défaut
    Citation Envoyé par GCSX_ Voir le message
    Certes, mais d'autres pourrait exploiter ce concept pour diffuser un véritable virus...
    i love you, par exemple

Discussions similaires

  1. Réponses: 9
    Dernier message: 27/02/2014, 20h25
  2. détection du nez dans des images
    Par dz_robotix dans le forum Traitement d'images
    Réponses: 2
    Dernier message: 15/06/2007, 02h31
  3. Information embarquée dans des images
    Par Terminator dans le forum Imagerie
    Réponses: 2
    Dernier message: 31/05/2007, 18h41
  4. [Image] image map dans des images dynamique?
    Par xtaze dans le forum Bibliothèques et frameworks
    Réponses: 2
    Dernier message: 19/05/2006, 18h28

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo