Newsletter Developpez.com

Inscrivez-vous gratuitement au Club pour recevoir
la newsletter hebdomadaire des développeurs et IT pro

Un malware embarqué dans des images se propage sur 4Chan
Et infecte de nombreux ordinateurs d'après Microsoft

Le , par Katleen Erna, Expert éminent sénior
Un malware embarqué dans des images se propage sur 4Chan et infecte de nombreux ordinateurs d'après Microsoft

Un malware inclus dans des fichiers image vient d'être identifié par le MMPC (Microsoft Malware Protection Center).

Il s'agit d'un script malicieux qui circule actuellement sur les forums de discussion de 4chan.org (BBS anglophone très populaire crée en 2003, constitué d'un réseau d’imageboards) qui serait en fait l'évolution de 4chan.js (une menace qui circulait de la même manière en 2008).

Le fichier .PNG infecté compresse les données dans un format quasiment inoffenssif et les stocke ainsi dans l'image.

Le .PNG se présente comme une image qui donne les instructions suivantes : "Sauvegardez-moi en tant que .BMP avec une extension .HTA". Dans ce cas, le fichier décompressé contient une image, un peu de code JavaScript (identifié comme le Trojan:JS/Chafpin.gen!A décliné en trois versions différentes suivant les auteurs), et quelques fichiers exécutables, selon les informations fournies par les chercheurs de Microsoft.

Le malware serait de plus capable de déjouer la protection CAPTCHA de 4Chan et de se propager tout seul sur les forums de discussion.

Les trois variantes du trojan varient selon la méthode employée par leur concepteur. Dans la plus récente, le bitmap est crée avec des variables aléatoires a chaque fois qu'il est lancé.

Le MMPC précise que 4Chan "prend des mesures pour endiguer les infections des utilisateurs en fermant les sujets concernés", en ajoutant qu'il est fermement déconseillé d'exécuter "tout type de fichier .HTA".

Source : Le MMPC

Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de bombseb bombseb - Membre éclairé http://www.developpez.com
le 16/08/2010 à 13:37
y'a un truc que je ne pige pas quand même....

comment un .PNG peut t-il être infecté par un virus ? je comprends pas trop là...
Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 16/08/2010 à 14:10
Ce n'est pas un virus, c'est du social engineering: En gros, il signifie "créez SVP un .hta contenant le code malveillant".
Avatar de ILP ILP - Membre averti http://www.developpez.com
le 16/08/2010 à 14:18
Si j'ai bien compris le post de MMPC, le fichier PNG en lui même n'est pas infecté. Mais il a était conçu de telle façon a ce que si on l'enregistre en BMP (clique droit, Enregistrer l'image sous…). Et qu'à la place de l'extension BMP on utilise l'extention HTA (HTML Application). On se retrouve avec un petit script exécutable contenant le malware.
Voici un aperçu du contenu du fichier PNG lorsqu'il est enregistré en BMP :
Avatar de minnesota minnesota - Membre émérite http://www.developpez.com
le 16/08/2010 à 14:56
heureusement que le fichier ne disait pas "jetez-vous par la fenêtre"
Avatar de isra17 isra17 - Membre du Club http://www.developpez.com
le 16/08/2010 à 16:46
He bien, on parle maintenant de 4chan sur le dvp.com... Ce genre d'attaque n'est pas nouveau, juste une petite variation moins connue que les .js (Pour info, le .js était une image noir avec qui demandait d'enregistrer cette image en .js et de l'exécuter. Le script ne faisait que se spammer lui-même bref, pendant quelques heures 4chan était spammer par des milliers de personnes involontairement). C'est juste que maintenant on utilise le format .hta qui est moins connu que .js . S'il fonctionne avec le même principe que les .js un simple reboot et on n'en parle plus. Mais bon tant qu'il y aura des «newfags» sur 4chan c'est le genre de truc qui arrive de temps en temps.
Avatar de LiveFromBx LiveFromBx - Nouveau membre du Club http://www.developpez.com
le 17/08/2010 à 13:06
Très bonne réponse nickyla ! +1
Avatar de GCSX_ GCSX_ - Membre confirmé http://www.developpez.com
le 17/08/2010 à 23:37
N'empèche... Faut quand même être c*n (ou ignorant) pour faire une manip qu'on ne connait pas avec un fichier douteux trouvé par hasard sur internet...

A votre avis, si je fais une image noire avec écrit dedans "Lancez CMD (en admin pour Vista/7), tapez FORMAT C: /Q /X, appuyez sur Entrée, O et de nouveau Entrée" et que je la diffusais sur internet, combien de personnes le feraient?

Si une véritable étude était faite à ce sujet, je suis sûr que le résultat étonnerai pas mal de monde...

Cette histoire me rapelle un Proof of Concept qu'un ancien ami de bahut qui se qualifiait de hacker-blanc (qui utilise ses compétences à des fins de tests de sécurité pour des entreprises notamment : il sont par exemple payés pour tenter de pirater le réseau de l'entreprise cliente et ainsi en tester la sécurité). Il a crée une réplique de la page d'accueil de hotmail (un bon vieux copier-coller du code HTML), mais dans laquelle il a ajouté un petit script qui enregistre les identifiants entrés sur le serveur avant de rediriger l'utilisateur vers la vrai page d'accueil et un message d'avertissement, en rouge, juste sous la case où l'on tape son MdP, expliquant que la page est factice et que les identifiants seront enregistrés. Il a ensuite envoyé des e-mails bidon (du texte tout simple et un lien HTML) à des adresses mail glanés ça et là sur la toile, disant que, par suite d'un problème technique, il fallait, pour continuer à utiliser hotmail, cliquer sur le lien et se logger.

En une semaine, il y'avait 43 identifiants sur 100 mails envoyés...
Presque la moité en une seule semaine!
Avatar de Médinoc Médinoc - Expert éminent sénior http://www.developpez.com
le 17/08/2010 à 23:51
Avatar de lmontout lmontout - Membre du Club http://www.developpez.com
le 18/08/2010 à 6:37
Cela me rappelle les fameux virus fainéants qui circulaient à une époque qui expliquaient à l'utilisateur qu'il était surement infecté par un terrible (son d'ambiance sinistre) virus mais qu'il lui suffisait de le supprimer à la main dans son répertoire windows (et de bien penser à faire suivre l'email à tous ces autres collègues qui vous en remercieraient éternellement).

Cela ressemble plus à une attaque ciblée pour discréditer un site qu'un véritable virus.
Avatar de GCSX_ GCSX_ - Membre confirmé http://www.developpez.com
le 19/08/2010 à 21:10
Certes, mais d'autres pourrait exploiter ce concept pour diffuser un véritable virus...
Avatar de JeanFrançois74 JeanFrançois74 - Candidat au Club http://www.developpez.com
le 15/09/2010 à 11:53
Citation Envoyé par GCSX_  Voir le message
Certes, mais d'autres pourrait exploiter ce concept pour diffuser un véritable virus...

i love you, par exemple
Offres d'emploi IT
ARAMIS AUTO
ARAMIS AUTO - France - Lyon
Ingénieur développement java ee
INFOTEL CONSEIL - Bretagne - Brest (29200)
Consultant technique JDedwards ( H/F)
CELAD - Provence Alpes Côte d'Azur - Sophia Antipolis

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil