Le premier ver qui infecte les fichiers audio

Le par  |  16 commentaire(s)
virus

Kaspersky Lab revendique la découverte du premier ver capable d'infecter les fichiers audio, représentant notamment une menace pour les utilisateurs Windows qui téléchargent de la musique sur les réseaux P2P.

virusBaptisé Worm.Win32.GetCodec.a par l'éditeur russe de solutions de sécurité Kaspersky Lab, ce ver informatique une fois présent sur une machine se met en quête de fichiers audio MP3 et les convertit en fichiers au format WMA plus docile, histoire de les intégrer dans un container ASF, le format multimédia de Microsoft utilisé pour le streaming.

Le format ASF permet ainsi d'ajouter au ficher infecté une balise contenant un lien pointant vers une page Web malicieuse qui sera automatiquement activée (ouverture dans Internet Explorer) au moment de la lecture du fichier. L'utilisateur, lui, n'y verra que du feu puisque le fichier initialement MP3 gardera cette extension malgré sa conversion.

Néanmoins, c'est une fois rendu sur cette page Web que l'utilisateur pourra se douter que quelque chose de malsain se trame sur sa machine, puisqu'il lui sera proposé le téléchargement d'un codec, et l'on retombe donc dans un schéma plutôt classique ouvrant la voie à un cheval de Troie, Proxy.Win32.Agent.arp pour ne pas le citer, en vue d'une prise de contrôle du PC.

Kaspersky Lab souligne que c'est la première fois qu'un ver infecte des fichiers audio, précisant que jusqu'à présent, " le format WMA n'était utilisé par les chevaux de Troie que pour masquer leur présence dans le système, les objets infectés n'étaient pas des fichiers audio ".  Pour l'éditeur, ce type d'attaque présente un réel danger eu égard à la confiance accordée par les utilisateurs envers leurs fichiers média. Ces derniers auront notamment pu être rapatriés via P2P.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #279711
Merci qui ? Merci Microsoft et tes formats tous pourris
Conclusion : téléchargez des MP3, pas des WMA ou ASF
Le #279731
@gotop; la new précise bien que l'extension restera mp3 mais le format changera....

donc quand tu téléchargera tu n'y verras que tu feux.
Le #279741
gotop : l'article précise que les fichiers infectés garde leur extension .mp3 donc difficile de faire la différence au moment du téléchargement.

Si tu veux être tranquille, rabats-toi plutôt sur du ogg ou du flac.
Le #279751
.wav ou .midi uniquement!
Le #279771
N'importe quoi....

Ca fait un mois qu'il a été découvert : http://forum.malekal.com/viewtopic.php?f=66&t=12206

et c'est pas Kaspersky qui l'a découvert en plus... mais pas du tout.

C'est vraiment énervant de voir les AV tirer la couverture vers eux.

Pour info le codec installe un pinch qui a des fonctionnalités de keylogger.
Le #279791
<jvachez>
Ce genre de problème n'arriverait pas si tout le monde écoutait l'excellent format qu'est le wma
</jvachez>
Le #279861
Bah c'est pas vraiment une vulnérabilité mais plutôt une utilisation malsaine d'un option à la base créée pour aider les créateurs de fichier musicaux. Maintenant c'est clair qu'un débutant voyant wmp lui proposer un codec fera le malencontreux clic.

Le #279881
@0rsa
le format WMA 8/9 est de meilleure qualité que le mp3 et est géré par quasiment tous les baladeurs mp3... perso je crache pas sur du son de meilleure qualité!



par contre il ne s'agit pas d'un vers, mais plutot d'un traditionnel virus qui aurait la particularité de se propager à travers des fichiers considérés habituellement comme innofensifs

c'est bien un virus et non un vers car cela nécessite une action volontaire de l'utilisateur (ouvrir le fichier audio avec wmp ou un logiciel basé sur wmp, et autoriser le téléchargement et l'installation du codec), et ça ne se propage pas tout seul sur le réseau
Le #279891
Moué en meme temps l'utilisateur un peu averti verra par exemple sur la mule dans ses résultats de recherche que le bitrate et autre info du tag ne peuvent etre extrait du faux mp3 et qu'il y a moins de sources que d'autres mp3 correspondant a ses recherches alors avant que le fichier se propage massivement via p2p...
Le #279901
Ouais. Au moins sous Unix on n'est jamais emmerdé avec le type de fichiers. On sait toujours ce à quoi on a affaire : l'extension ne sert à rien sous Unix c'est un élément comme un autre de l'identifiant de fichier.
Que le fichier soit suffixé par .mp3, .toto ou .mafemme sous Unix on sait si on a affaire à un véritable mp3, un PKZIP ou un WMA.
Hélas l'extension est malgré tout utilisée dans des domaines transverses (indépendamment du système) : interfaces graphiques'par le biais des types MIME par défaut et, surtout, les serveurs Web qui utilisent l'extension pour devnir le type MIME.
db
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]