IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un malware embarqué dans des images se propage sur 4Chan
Et infecte de nombreux ordinateurs d'après Microsoft

Le , par Katleen Erna

1PARTAGES

0  0 
Un malware embarqué dans des images se propage sur 4Chan et infecte de nombreux ordinateurs d'après Microsoft

Un malware inclus dans des fichiers image vient d'être identifié par le MMPC (Microsoft Malware Protection Center).

Il s'agit d'un script malicieux qui circule actuellement sur les forums de discussion de 4chan.org (BBS anglophone très populaire crée en 2003, constitué d'un réseau d’imageboards) qui serait en fait l'évolution de 4chan.js (une menace qui circulait de la même manière en 2008).

Le fichier .PNG infecté compresse les données dans un format quasiment inoffenssif et les stocke ainsi dans l'image.

Le .PNG se présente comme une image qui donne les instructions suivantes : "Sauvegardez-moi en tant que .BMP avec une extension .HTA". Dans ce cas, le fichier décompressé contient une image, un peu de code JavaScript (identifié comme le Trojan:JS/Chafpin.gen!A décliné en trois versions différentes suivant les auteurs), et quelques fichiers exécutables, selon les informations fournies par les chercheurs de Microsoft.

Le malware serait de plus capable de déjouer la protection CAPTCHA de 4Chan et de se propager tout seul sur les forums de discussion.

Les trois variantes du trojan varient selon la méthode employée par leur concepteur. Dans la plus récente, le bitmap est crée avec des variables aléatoires a chaque fois qu'il est lancé.

Le MMPC précise que 4Chan "prend des mesures pour endiguer les infections des utilisateurs en fermant les sujets concernés", en ajoutant qu'il est fermement déconseillé d'exécuter "tout type de fichier .HTA".

Source : Le MMPC

Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Médinoc
Expert éminent sénior https://www.developpez.com
Le 17/08/2010 à 23:51
Y'a pire (en Anglais).
2  0 
Avatar de nickyla
Membre actif https://www.developpez.com
Le 16/08/2010 à 12:55
Pourquoi certains utilisateurs suivent-ils les instructions de l'image, mettant ainsi leur machine en danger ?
Désolé d'être un peu sarcastique mais cette question revient, pour moi, à poser une autre question qui est: "Pourquoi tout le monde n'est pas informaticien? il y aurait beaucoup moins d'erreurs de manipulation à gérer"

Après on peut s'amuser à remplacer le mot en gras à souhait
2  1 
Avatar de ILP
Membre confirmé https://www.developpez.com
Le 16/08/2010 à 14:18
Si j'ai bien compris le post de MMPC, le fichier PNG en lui même n'est pas infecté. Mais il a était conçu de telle façon a ce que si on l'enregistre en BMP (clique droit, Enregistrer l'image sous…). Et qu'à la place de l'extension BMP on utilise l'extention HTA (HTML Application). On se retrouve avec un petit script exécutable contenant le malware.
Voici un aperçu du contenu du fichier PNG lorsqu'il est enregistré en BMP :
1  0 
Avatar de minnesota
Membre émérite https://www.developpez.com
Le 16/08/2010 à 14:56
heureusement que le fichier ne disait pas "jetez-vous par la fenêtre"
1  0 
Avatar de bombseb
Membre expérimenté https://www.developpez.com
Le 16/08/2010 à 13:37
y'a un truc que je ne pige pas quand même....

comment un .PNG peut t-il être infecté par un virus ? je comprends pas trop là...
0  0 
Avatar de Médinoc
Expert éminent sénior https://www.developpez.com
Le 16/08/2010 à 14:10
Ce n'est pas un virus, c'est du social engineering: En gros, il signifie "créez SVP un .hta contenant le code malveillant".
0  0 
Avatar de isra17
Membre du Club https://www.developpez.com
Le 16/08/2010 à 16:46
He bien, on parle maintenant de 4chan sur le dvp.com... Ce genre d'attaque n'est pas nouveau, juste une petite variation moins connue que les .js (Pour info, le .js était une image noir avec qui demandait d'enregistrer cette image en .js et de l'exécuter. Le script ne faisait que se spammer lui-même bref, pendant quelques heures 4chan était spammer par des milliers de personnes involontairement). C'est juste que maintenant on utilise le format .hta qui est moins connu que .js . S'il fonctionne avec le même principe que les .js un simple reboot et on n'en parle plus. Mais bon tant qu'il y aura des «newfags» sur 4chan c'est le genre de truc qui arrive de temps en temps.
0  0 
Avatar de LiveFromBx
Nouveau membre du Club https://www.developpez.com
Le 17/08/2010 à 13:06
Très bonne réponse nickyla ! +1
0  0 
Avatar de GCSX_
Membre confirmé https://www.developpez.com
Le 17/08/2010 à 23:37
N'empèche... Faut quand même être c*n (ou ignorant) pour faire une manip qu'on ne connait pas avec un fichier douteux trouvé par hasard sur internet...

A votre avis, si je fais une image noire avec écrit dedans "Lancez CMD (en admin pour Vista/7), tapez FORMAT C: /Q /X, appuyez sur Entrée, O et de nouveau Entrée" et que je la diffusais sur internet, combien de personnes le feraient?

Si une véritable étude était faite à ce sujet, je suis sûr que le résultat étonnerai pas mal de monde...

Cette histoire me rapelle un Proof of Concept qu'un ancien ami de bahut qui se qualifiait de hacker-blanc (qui utilise ses compétences à des fins de tests de sécurité pour des entreprises notamment : il sont par exemple payés pour tenter de pirater le réseau de l'entreprise cliente et ainsi en tester la sécurité). Il a crée une réplique de la page d'accueil de hotmail (un bon vieux copier-coller du code HTML), mais dans laquelle il a ajouté un petit script qui enregistre les identifiants entrés sur le serveur avant de rediriger l'utilisateur vers la vrai page d'accueil et un message d'avertissement, en rouge, juste sous la case où l'on tape son MdP, expliquant que la page est factice et que les identifiants seront enregistrés. Il a ensuite envoyé des e-mails bidon (du texte tout simple et un lien HTML) à des adresses mail glanés ça et là sur la toile, disant que, par suite d'un problème technique, il fallait, pour continuer à utiliser hotmail, cliquer sur le lien et se logger.

En une semaine, il y'avait 43 identifiants sur 100 mails envoyés...
Presque la moité en une seule semaine!
0  0 
Avatar de lmontout
Membre régulier https://www.developpez.com
Le 18/08/2010 à 6:37
Cela me rappelle les fameux virus fainéants qui circulaient à une époque qui expliquaient à l'utilisateur qu'il était surement infecté par un terrible (son d'ambiance sinistre) virus mais qu'il lui suffisait de le supprimer à la main dans son répertoire windows (et de bien penser à faire suivre l'email à tous ces autres collègues qui vous en remercieraient éternellement).

Cela ressemble plus à une attaque ciblée pour discréditer un site qu'un véritable virus.
0  0