.
virusphoto virusphoto

Identifiant

Mot de passe

Derniers messages Messages du jour Sujets sans réponse S'inscrire

Rejoignez-nous !

VirusPhoto » Forum » Les articles VirusPhoto » Conseils pratiques

Noter la discussion : Des virus dans vos photos, attention aux risques

Aller au premier non-lu

Des virus dans vos photos, attention aux risques

Article rédigé par magidev, le 09/07/2007.Voir son profil

Une rumeur circulait sur internet, relayée par les éditeurs d'antivirus jusqu'en avril 2007, mois de l'alerte générale.

Ce virus exploite une faille de sécurité dans les logiciels comme Paint Shop Pro ou Photoshop.
Il se cache dans une image de type PNG.


Oui, mais ce n'est pas nouveau ?

Non bien sûr, le risque existe depuis 2002 et à été démontré par un phillipin qui à crée Perrun. Ce fut une révolution car les virus ne se propagaient précédement qu'au travers de fichiers infectées ou par internet. Pour tromper les utilisateur et s'installer sur le PC de sa victime, ils se déguisaient en application ou en fichier interessant.

Avec Perrun, le code du virus se complique et se loge dans une photo. Bien que son auteur n'ai pas mis Perrun en pratique et s'est contenté d'alerter les éditeurs d'antivirus de la faille, des clônes pourraient bel et bien exister



Details du fonctionnement :

Le virus s'installe dans une image :

L'image, fichier informatique composé de 0 et de 1 avec une entête signifiant qu'il s'agit d'une image (comme le JPG, le PNG, le GIF, le BMP, etc...) Tout l'art de ce virus réside dans le fait qu'il parvient à se greffer parfaitement et de manière invisible (en affichant l'image) au code informatique de l'image.

Le virus s'installe dans l'ordinateur :

La technique s'appuie sur un complice, une cheval de Troie (ou Trojan) déja présent dans l'ordinateur, venu par téléchargement ou ouverture d'un mail infecté. Ce Trojan modifie le registre et s'octroie le droit de vérifier toutes les images téléchargées (y compris celles affichées) et de repérer le code du virus dans l'image. Dès qu'il le trouve, il l'execute de manière invisible.
Ce trojan n'empêche aucunement l'image de s'ouvrir, sinon vous le verriez

En avril 2007, une alerte de sécurité ne concernait pas un virus aidé d'un trojan :

Il exploitait en fait une faille de sécurité dans le moteur graphique affichant les PNG
Il parvenait à faire "déborder" l'image dans la mémoire afin d'installer le virus

Seul Paint-Shop Pro et Photoshop sont concernés :

Contrairement à la faille de 2004, qui concernait Windows lui-même et sa librairie graphique GDI+ (composant de Windows chargé d'afficher les images) Cette faille à été corrigée, mais d'autres logiciels utilisant encore une ancienne version de GDI+ sont à risque

Que se passe-t-il si on ouvre l'image infectée sur un PC sans Trojan complice ?

Rien. Sans son complice ou le GDI+ défaillant, il n'y a aucun risque. Mais il se pourrait que vous l'envoyiez à une contact qui n'est pas protégé.

Que se passe-t-il si on n'ouvre pas d'image infectée mais que le Trojan est présent ?

Il ne se passe rien non plus. Il ne fait qu'analyser les images

Comment détecter les images ?

Depuis ces alertes de sécurité, les éditeurs antivirus ont modifié leurs programmes pour détecter les virus présents dans tous les fichiers et non uniquement dans les programmes


Ne vous laissez pas piéger par les extensions de fichier :

La plus part des virus envoyés par mail se font passer pour des images en modifiant leurs extensions fichier (par exemple FilleCanon.jpg.exe ou MecCanon.jpg.exe) ici seul .exe est la vraie extension, il s'agit d'un programme. (les extensions à risque sont aussi .bat .zip .exe .com .rar ainsi que d'autres exécutables). Si vous l'enregistrez sous Windows, les extensions sont masqués par défaut, ainsi vous ne voyez que "FilleCanon.jpg" et pas le exe qui se cache derriere.

Un conseil, activez l'affichage des extensions

1- Dans le panneau de configuration, cliquez sur le menu "Outils" puis "Options des dossier"
2- Dans l'onglet affichage, cliquez l'option décochez l'option "Masquer les extensions de fichiers"
3 - Cliquez sur OK

(Résumé à partir d'un article paru dans Micro Hebdo).

Pour plus d'informations, consultez aussi

BRANCHEZ-VOUS! - Un nouveau virus prétend contenir des photos privées

Des virus informatiques dissimulés dans des images
Outils de la discussion Rechercher dans la discussion
Outils de la discussion
  #2  
non lus 09/07/2007, 18h08
Jeff.
 
Messages: n/a
Photiz
Merci pour cette mise en garde. +200 Photiz

C'est l'occasion aussi de rappeller que des millions de PC sont contaminés par des programmes qui envoient du spam depuis la machine d'un utilisateur, sans même qu'il en soit au courant.

L'utilisation de Windows doit impérativement être liée à l'utilisation d'un antivirus performant et à jour.
La plupart des utilisateurs de PC infectés ne sont pas conscients que leur ordinateur est contaminé, et pourtant, il peut servir de relais à spam, ou toute autre chose, qu'on ne remarque pas forcément.

L'antivirus n'est pas une option, c'est un impératif absolument nécessaire pour sa sécurité personnelle et pour celle des autres

Autres solutions complémentaires à l'antivirus :

- Utiliser un logiciel de messagerie qui met l'accent sur la sécurité et vous protège, comme Thunderbird
- Utiliser un navigateur web performant en ce qui concerne la sécurité, comme Firefox et ses dérivés (record en ce qui concerne la rapidité de résolution des failles de sécurité)

Dernière modification par Jeff. 09/07/2007 à 18h14.
Réponse avec citation
  #3  
non lus 09/07/2007, 18h13
Avatar de sebastien.fichot
Membre
Ma pratique de la photo: Pratique régulière
 
Messages: 63
425 Photiz
Citation:
Que se passe-t-il si on ouvre l'image infectée sur un PC sans Trojan complice ?

Rien. Sans son complice ou le GDI+ défaillant, il n'y a aucun risque. Mais il se pourrait que vous l'envoyiez à une contact qui n'est pas protégé.

Il ne se passe pas rien, le dépassement de mémoire provoque la fermeture de Photoshop sans autre mise en garde. Ca peut être un bon moyen de détecter l'infection.

A noter que la dernière mise à jour des produits Adobe corrige ce problème mais que des variantes peuvent émerger.

seb
Réponse avec citation
  #4  
non lus 09/07/2007, 18h15
bubul
 
Messages: n/a
Photiz
merci,pour l'info
Réponse avec citation
  #5  
non lus 09/07/2007, 18h33
Avatar de Gaetan
Magister populi
Ma pratique de la photo: Passionné de photo
 
Messages: 3 778
999967154 Photiz
Sur MSN

Certains d'entre vous ont rencontré ce virus, c'est le moment d'en parler... Si vous recevez ce message d'un contact :

N'acceptez pas ! Si c'est trop tard, installez MSN FIX d'urgence.


Télécharger MSNFIX (source sosvirus.changelog.fr)
Réponse avec citation
  #6  
non lus 09/07/2007, 18h44
Avatar de Gaetan
Magister populi
Ma pratique de la photo: Passionné de photo
 
Messages: 3 778
999967154 Photiz
Citation:
Posté par Jeff Voir le message
L'utilisation de Windows doit impérativement être liée à l'utilisation d'un antivirus performant et à jour.
La plupart des utilisateurs de PC infectés ne sont pas conscients que leur ordinateur est contaminé, et pourtant, il peut servir de relais à spam, ou toute autre chose, qu'on ne remarque pas forcément.

L'antivirus n'est pas une option, c'est un impératif absolument nécessaire pour sa sécurité personnelle et pour celle des autres

Arf jamais installé d'antivirus. Juste un firewall, des modifs dans le Registre, des modifs sur les ports (tcp 445 désactivé pour empêcher les attaques NetBIOS...), proscrire les invités du réseaux, empêcher l'exécution de fichiers potentiellement dangereux (type JScript), affichage des extensions connus....

Pour l'instant, jamais eu de saleté (je touche du bois).
Réponse avec citation
  #7  
non lus 09/07/2007, 19h53
Avatar de Fredshome
Membre
Ma pratique de la photo: Pratique régulière
Matériel: Pentax K10 et bidules en verre, Canon G3, 100%Linux
 
Messages: 883
5600 Photiz
Citation:
Posté par entraks Voir le message
affichage des extensions

L'affichage des extensions est un premier pas impératif. Il y a tellement d'attaques qui utilisent les extensions en double...

Je ne me sers pas de ma partition Windows (si ce n'est pour faire tourner des jeux), pas d'échange de données, pas de courrier, etc. Mes machines passent à travers un proxy NAT Linux mais j'ai quand même un antivirus (gratuit en l'occurrence) au cas où. Même les CD de logiciels commerciaux sont livrés avec des cochoncetés de temps à autres.
Réponse avec citation
  #8  
non lus 09/07/2007, 20h16
Avatar de But-But
Membre
Ma pratique de la photo: Passionné de photo
Matériel: Canon ♦ EOS 700D
 
Messages: 52
505 Photiz
J'ai un ami qui 'envoi le meme type de message mais le Zip s'appelle : Myalbum2007.zip
mais c'était les mêmes phrases dans la fenetre de dialogue
Réponse avec citation
  #9  
non lus 09/07/2007, 20h37
jcm jcm est déconnecté
Membre
Ma pratique de la photo: Pratique régulière
Matériel: 5D²
 
Messages: 228
6270 Photiz
Je conseillerais même l'utilisation à la fois d'un firewall (ZoneAlarm est très bon et dispose d'une version gratuite fonctionnelle, qui permet de décider quels programmes auront accès au net) ET d'un antivirus pour les utilisateurs de windows.

Avec ZA les utilisateurs de XP devront désactiver le firewall microsoft, qui n'est pas une merveille !!!
Réponse avec citation
  #10  
non lus 09/07/2007, 21h23
Avatar de coolgraph
Membre
Ma pratique de la photo: Passionné de photo
Matériel: Nikon
 
Messages: 4 438
37953 Photiz
Merci pour l'info !
Réponse avec citation
  #11  
non lus 09/07/2007, 23h02
Avatar de babelkot
Membre
Ma pratique de la photo: Pratique régulière
Matériel: D2HS+D2XS+D100+D70s+ D200 +Nikon FA +Lumix FZ 50
 
Messages: 2 225
11034 Photiz
Ni antivirus,ni firewall depuis 10 ans et ce sans problèmes..Juste une petite visite de temps en temps chez "virus.com".
Réponse avec citation
  #12  
non lus 09/07/2007, 23h42
Avatar de Zakouski
Membre
Ma pratique de la photo: Aucune connaissance
Matériel: Pentax /Panasonic
 
Messages: 771
4200 Photiz
Les rumeurs sont les meilleurs propagateurs de virus. Mon meilleur anti-virus c'est moi... jamais trouvé mieux.

Merci pour l'info.

Zakouski.
Réponse avec citation
  #13  
non lus 10/07/2007, 02h05
magidev
 
Messages: n/a
Photiz
Juste une petit précision :

Même s'il s'agit d'un message de vos amis avec une pièce jointe, celle-ci peut être infectée

-Soit par l'ordinateur de l'ami qui ne le sait pas et ne l'a pas fait exprès
-Soit par un Trojan ou Virus qui à scanné le répertoire mail dans le PC et envoyée au nom de votre ami sa propre copie

Pour le firewall gratuit, il y a aussi PCTools Firewall Plus, anciennement payant et maintenant gratuit PC Tools - Outils essentiels pour votre PC

Spybot Search & Destroy (gratuit) vaccine votre navigateur contre les menace et cherche les Trojan

AD-Aware SE (gratuit) chercher les spywares et adware présent sur votre PC (mise en français ICI)

Quand à CCleaner (gratuit), il vide vos historiques de plus ou moins tous les logiciels pour éviter de vous les faire voler et pour nettoyer et nettoie aussi la base des registres de ses erreurs (+ de performances - de bugs)

Les antivirus gratuits comme Avast! sont surement efficaces mais chez moi il laissait rentrer pas mail de Trojan et Spyware donc j'ai opté pour Norton Antivirus qui ne laisse rien passer mais qui est payant

A chacun son apréciation, l'important est de rester vigilant sans tomber dans la psychose

Bonne journée à tous

Dernière modification par magidev 10/07/2007 à 02h11. Motif: Deux fautes de typo et ajout des liens
Réponse avec citation
  #14  
non lus 10/07/2007, 02h13
magidev
 
Messages: n/a
Photiz
Citation:
Posté par sebastien.fichot Voir le message
Il ne se passe pas rien, le dépassement de mémoire provoque la fermeture de Photoshop sans autre mise en garde. Ca peut être un bon moyen de détecter l'infection.

A noter que la dernière mise à jour des produits Adobe corrige ce problème mais que des variantes peuvent émerger.

seb

Au contraire, si la photo déborde dans une zone mémoire dite "d'exécution" le virus est executée puisqu'il ne se trouve plus dans une zone mémoire dite "d'affichage"

Réponse avec citation
  #15  
non lus 10/07/2007, 02h16
magidev
 
Messages: n/a
Photiz
Citation:
Posté par babelkot Voir le message
Ni antivirus,ni firewall depuis 10 ans et ce sans problèmes..Juste une petite visite de temps en temps chez "virus.com".

Il y a surement quelquechose, mais tu ne le vois pas. Ca peut ne cause aucun problème visible

Les virus : invisible sauf certains qui détruisent les fichiers
Les ver : invisible sauf ralentissement important de l'ordinateur (sauf machine récente)
Les trojan : invisible, ouvre des ports de communication à l'insu de l'utilisateur sur le PC pour récupérer ou divulger des infos personelles
Les ad-ware ou spyware: collecte des infos sur la navigation, les mots de passe, etc... et les envoie à des société de pub ou à des pirates (ex: carte de crédit)
Réponse avec citation
VirusPhoto » Forum » Les articles VirusPhoto » Conseils pratiques

Commentaire

Non-lu Non-lu  
Bloguer ceci Outils de l'article Rechercher dans cet article Noter l'article

Outils de l'article Rechercher dans cet article
Rechercher dans cet article:

Recherche avancée
Noter la discussion
Noter la discussion:

 


LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Powered by vBulletin® Version 3.8.2 - Copyright ©2000 - 2013, Jelsoft Enterprises Ltd.
2006 - 2017 © ® VirusPhoto. Tous droits réservés.