Un malware embarqué dans des images se propage sur 4Chan et infecte de nombreux ordinateurs d'après Microsoft
Le 16/08/2010, par Katleen Erna, Expert Confirmé Sénior
Un malware inclus dans des fichiers image vient d'être identifié par le MMPC (Microsoft Malware Protection Center).
Il s'agit d'un script malicieux qui circule actuellement sur les forums de discussion de 4chan.org (BBS anglophone très populaire crée en 2003, constitué d'un réseau d’imageboards) qui serait en fait l'évolution de 4chan.js (une menace qui circulait de la même manière en 2008).
Le fichier .PNG infecté compresse les données dans un format quasiment inoffenssif et les stocke ainsi dans l'image.
Le .PNG se présente comme une image qui donne les instructions suivantes : "Sauvegardez-moi en tant que .BMP avec une extension .HTA". Dans ce cas, le fichier décompressé contient une image, un peu de code JavaScript (identifié comme le Trojan:JS/Chafpin.gen!A décliné en trois versions différentes suivant les auteurs), et quelques fichiers exécutables, selon les informations fournies par les chercheurs de Microsoft.
Le malware serait de plus capable de déjouer la protection CAPTCHA de 4Chan et de se propager tout seul sur les forums de discussion.
Les trois variantes du trojan varient selon la méthode employée par leur concepteur. Dans la plus récente, le bitmap est crée avec des variables aléatoires a chaque fois qu'il est lancé.
Le MMPC précise que 4Chan "prend des mesures pour endiguer les infections des utilisateurs en fermant les sujets concernés", en ajoutant qu'il est fermement déconseillé d'exécuter "tout type de fichier .HTA".
Source : Le MMPC
Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?
Il s'agit d'un script malicieux qui circule actuellement sur les forums de discussion de 4chan.org (BBS anglophone très populaire crée en 2003, constitué d'un réseau d’imageboards) qui serait en fait l'évolution de 4chan.js (une menace qui circulait de la même manière en 2008).
Le fichier .PNG infecté compresse les données dans un format quasiment inoffenssif et les stocke ainsi dans l'image.
Le .PNG se présente comme une image qui donne les instructions suivantes : "Sauvegardez-moi en tant que .BMP avec une extension .HTA". Dans ce cas, le fichier décompressé contient une image, un peu de code JavaScript (identifié comme le Trojan:JS/Chafpin.gen!A décliné en trois versions différentes suivant les auteurs), et quelques fichiers exécutables, selon les informations fournies par les chercheurs de Microsoft.
Le malware serait de plus capable de déjouer la protection CAPTCHA de 4Chan et de se propager tout seul sur les forums de discussion.
Les trois variantes du trojan varient selon la méthode employée par leur concepteur. Dans la plus récente, le bitmap est crée avec des variables aléatoires a chaque fois qu'il est lancé.
Le MMPC précise que 4Chan "prend des mesures pour endiguer les infections des utilisateurs en fermant les sujets concernés", en ajoutant qu'il est fermement déconseillé d'exécuter "tout type de fichier .HTA".
Source : Le MMPC
Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?
Poster une réponse
