Une rumeur circulait sur internet, relayée par les éditeurs d'antivirus jusqu'en avril 2007, mois de l'alerte générale.

Ce virus exploite une faille de sécurité dans les logiciels comme Paint Shop Pro ou Photoshop.
Il se cache dans une image de type PNG.


Oui, mais ce n'est pas nouveau ?

Non bien sûr, le risque existe depuis 2002 et à été démontré par un phillipin qui à crée Perrun. Ce fut une révolution car les virus ne se propagaient précédement qu'au travers de fichiers infectées ou par internet. Pour tromper les utilisateur et s'installer sur le PC de sa victime, ils se déguisaient en application ou en fichier interessant.

Avec Perrun, le code du virus se complique et se loge dans une photo. Bien que son auteur n'ai pas mis Perrun en pratique et s'est contenté d'alerter les éditeurs d'antivirus de la faille, des clônes pourraient bel et bien exister



Details du fonctionnement :

Le virus s'installe dans une image :

L'image, fichier informatique composé de 0 et de 1 avec une entête signifiant qu'il s'agit d'une image (comme le JPG, le PNG, le GIF, le BMP, etc...) Tout l'art de ce virus réside dans le fait qu'il parvient à se greffer parfaitement et de manière invisible (en affichant l'image) au code informatique de l'image.

Le virus s'installe dans l'ordinateur :

La technique s'appuie sur un complice, une cheval de Troie (ou Trojan) déja présent dans l'ordinateur, venu par téléchargement ou ouverture d'un mail infecté. Ce Trojan modifie le registre et s'octroie le droit de vérifier toutes les images téléchargées (y compris celles affichées) et de repérer le code du virus dans l'image. Dès qu'il le trouve, il l'execute de manière invisible.
Ce trojan n'empêche aucunement l'image de s'ouvrir, sinon vous le verriez

En avril 2007, une alerte de sécurité ne concernait pas un virus aidé d'un trojan :

Il exploitait en fait une faille de sécurité dans le moteur graphique affichant les PNG
Il parvenait à faire "déborder" l'image dans la mémoire afin d'installer le virus

Seul Paint-Shop Pro et Photoshop sont concernés :

Contrairement à la faille de 2004, qui concernait Windows lui-même et sa librairie graphique GDI+ (composant de Windows chargé d'afficher les images) Cette faille à été corrigée, mais d'autres logiciels utilisant encore une ancienne version de GDI+ sont à risque

Que se passe-t-il si on ouvre l'image infectée sur un PC sans Trojan complice ?

Rien. Sans son complice ou le GDI+ défaillant, il n'y a aucun risque. Mais il se pourrait que vous l'envoyiez à une contact qui n'est pas protégé.

Que se passe-t-il si on n'ouvre pas d'image infectée mais que le Trojan est présent ?

Il ne se passe rien non plus. Il ne fait qu'analyser les images

Comment détecter les images ?

Depuis ces alertes de sécurité, les éditeurs antivirus ont modifié leurs programmes pour détecter les virus présents dans tous les fichiers et non uniquement dans les programmes


Ne vous laissez pas piéger par les extensions de fichier :

La plus part des virus envoyés par mail se font passer pour des images en modifiant leurs extensions fichier (par exemple FilleCanon.jpg.exe ou MecCanon.jpg.exe) ici seul .exe est la vraie extension, il s'agit d'un programme. (les extensions à risque sont aussi .bat .zip .exe .com .rar ainsi que d'autres exécutables). Si vous l'enregistrez sous Windows, les extensions sont masqués par défaut, ainsi vous ne voyez que "FilleCanon.jpg" et pas le exe qui se cache derriere.

Un conseil, activez l'affichage des extensions

1- Dans le panneau de configuration, cliquez sur le menu "Outils" puis "Options des dossier"
2- Dans l'onglet affichage, cliquez l'option décochez l'option "Masquer les extensions de fichiers"
3 - Cliquez sur OK

(Résumé à partir d'un article paru dans Micro Hebdo).

Pour plus d'informations, consultez aussi

BRANCHEZ-VOUS! - Un nouveau virus prétend contenir des photos privées

Des virus informatiques dissimulés dans des images