Chasseur d'image n°258 de Novembre page 121 nous parle des jpeg et
virus
Oui c'est possible, mais pas de panique disent ils...
ça rassure.
La fin de l'article pas très clair pour moi , alors j'ai été voir:
http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html
Tant de post pour un "marronnier"... on voit que swen est dejà loin , et qu'On s'ennuit un peu.
C'est un peu court comme argumentation ça...
La chose est possible, c'est tout. Libre à toi de t'obstiner à refuser la chose. Personnelement, je ne vois pas pourquoi toujours dire "oui mais", "ha mais oui", "mais bon si",. Une chose est possible ou pas. Cas d'école, cas théorique, POC, peu importe. Qui plus est, dans ce cas, notre virus est encore plus mutualiste que ses confrères numériques habituels, ce qui nous rapproche encore plus de la définition de Cohen (qu'il a regretée ensuite) du terme "virus" :-).
Attention à force de crier au loup :-)
Bah, l'est plonké le loup :o).
-- AMcD
http://arnold.mcdonald.free.fr/
Bonjour,
guil.ristolas wrote:
Tant de post pour un "marronnier"...
on voit que swen est dejà loin , et qu'On s'ennuit un peu.
C'est un peu court comme argumentation ça...
La chose est possible, c'est tout. Libre à toi de t'obstiner à refuser la
chose. Personnelement, je ne vois pas pourquoi toujours dire "oui mais", "ha
mais oui", "mais bon si",. Une chose est possible ou pas. Cas d'école, cas
théorique, POC, peu importe. Qui plus est, dans ce cas, notre virus est
encore plus mutualiste que ses confrères numériques habituels, ce qui nous
rapproche encore plus de la définition de Cohen (qu'il a regretée ensuite)
du terme "virus" :-).
Tant de post pour un "marronnier"... on voit que swen est dejà loin , et qu'On s'ennuit un peu.
C'est un peu court comme argumentation ça...
La chose est possible, c'est tout. Libre à toi de t'obstiner à refuser la chose. Personnelement, je ne vois pas pourquoi toujours dire "oui mais", "ha mais oui", "mais bon si",. Une chose est possible ou pas. Cas d'école, cas théorique, POC, peu importe. Qui plus est, dans ce cas, notre virus est encore plus mutualiste que ses confrères numériques habituels, ce qui nous rapproche encore plus de la définition de Cohen (qu'il a regretée ensuite) du terme "virus" :-).
Attention à force de crier au loup :-)
Bah, l'est plonké le loup :o).
-- AMcD
http://arnold.mcdonald.free.fr/
Michel Claveau
Bonsoir !
C'est parce que Suzette a brûlé des crêpes, cette semaine.
@+ -- Michel Claveau
Bonsoir !
C'est parce que Suzette a brûlé des crêpes, cette semaine.
C'est parce que Suzette a brûlé des crêpes, cette semaine.
@+ -- Michel Claveau
Tweakie
On Sun, 19 Oct 2003, Roland Garcia wrote:
Bonjour,
Chasseur d'image n°258 de Novembre page 121 nous parle des jpeg et virus Oui c'est possible, mais pas de panique disent ils... ça rassure. La fin de l'article pas très clair pour moi , alors j'ai été voi r: http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html
Où comment les journalistes entretiennent les légendes urbaines, des virus dans les images :-)
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir par exemple :
http://minilien.com/?L7yOvuTFji (qui pointe vers) http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm= 2003830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere que certains lecteurs de jpg tres repandus peuvent avoir des failles permettant d'executer du code, mais les contraintes pratiques liees a la creation d'un tel virus sont si importantes que ca n'a jamais ete realise' en pratique.
D'ailleurs, il me semble que les unices sont une cible plus appropriee pour ce type de virus, pas parce que les "lecteurs" sont plus succeptibles de contenir des failles, ni, bien-sur, parce qu'ils sont plus repandus, mais parce que l'injection de code "relogeable" est sans doute plus simple (cf. simplicite des shellcodes linux vs. leurs equivalents windows).
-- Tweakie
On Sun, 19 Oct 2003, Roland Garcia wrote:
Bonjour,
Chasseur d'image n°258 de Novembre page 121 nous parle des jpeg et
virus
Oui c'est possible, mais pas de panique disent ils...
ça rassure.
La fin de l'article pas très clair pour moi , alors j'ai été voi r:
http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html
Où comment les journalistes entretiennent les légendes urbaines, des
virus dans les images :-)
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir
par exemple :
http://minilien.com/?L7yOvuTFji
(qui pointe vers)
http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm= 2003830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere
que certains lecteurs de jpg tres repandus peuvent avoir des
failles permettant d'executer du code, mais les contraintes
pratiques liees a la creation d'un tel virus sont si importantes
que ca n'a jamais ete realise' en pratique.
D'ailleurs, il me semble que les unices sont une cible plus
appropriee pour ce type de virus, pas parce que les "lecteurs"
sont plus succeptibles de contenir des failles, ni, bien-sur,
parce qu'ils sont plus repandus, mais parce que l'injection
de code "relogeable" est sans doute plus simple (cf. simplicite
des shellcodes linux vs. leurs equivalents windows).
Chasseur d'image n°258 de Novembre page 121 nous parle des jpeg et virus Oui c'est possible, mais pas de panique disent ils... ça rassure. La fin de l'article pas très clair pour moi , alors j'ai été voi r: http://securityresponse.symantec.com/avcenter/venc/data/w32.perrun.html
Où comment les journalistes entretiennent les légendes urbaines, des virus dans les images :-)
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir par exemple :
http://minilien.com/?L7yOvuTFji (qui pointe vers) http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm= 2003830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere que certains lecteurs de jpg tres repandus peuvent avoir des failles permettant d'executer du code, mais les contraintes pratiques liees a la creation d'un tel virus sont si importantes que ca n'a jamais ete realise' en pratique.
D'ailleurs, il me semble que les unices sont une cible plus appropriee pour ce type de virus, pas parce que les "lecteurs" sont plus succeptibles de contenir des failles, ni, bien-sur, parce qu'ils sont plus repandus, mais parce que l'injection de code "relogeable" est sans doute plus simple (cf. simplicite des shellcodes linux vs. leurs equivalents windows).
-- Tweakie
Roland Garcia
Roland Garcia wrote:
Ce n'est pas un virus.
Bah, créons, un nouveau terme, une nouvelle catégorie, ça ne me gêne pas.
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Roland Garcia
Roland Garcia wrote:
Ce n'est pas un virus.
Bah, créons, un nouveau terme, une nouvelle catégorie, ça ne me gêne pas.
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire
n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une
faille du lecteur. Ce n'est plus de la virologie mais bien de la
sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur
ou boucher le trou.
Bah, créons, un nouveau terme, une nouvelle catégorie, ça ne me gêne pas.
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Roland Garcia
Roland Garcia
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir par exemple :
http://minilien.com/?L7yOvuTFji (qui pointe vers) http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm 03830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere que certains lecteurs de jpg tres repandus peuvent avoir des failles permettant d'executer du code, mais les contraintes pratiques liees a la creation d'un tel virus sont si importantes que ca n'a jamais ete realise' en pratique.
Je ne conteste pas, des failles du même type que celles qui font faire n'importe quoi à IE à partir d'un simple message.
Les anti-virus sont là pour détecter ces exploits/virus, c'est tout, mais on ne peut rien faire de sérieux en protection si on laisse des failles de ce type.
Roland Garcia
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir
par exemple :
http://minilien.com/?L7yOvuTFji
(qui pointe vers)
http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm 03830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere
que certains lecteurs de jpg tres repandus peuvent avoir des
failles permettant d'executer du code, mais les contraintes
pratiques liees a la creation d'un tel virus sont si importantes
que ca n'a jamais ete realise' en pratique.
Je ne conteste pas, des failles du même type que celles qui font faire
n'importe quoi à IE à partir d'un simple message.
Les anti-virus sont là pour détecter ces exploits/virus, c'est tout,
mais on ne peut rien faire de sérieux en protection si on laisse des
failles de ce type.
A vrai dire, ce probleme a deja ete aborde dans ce groupe. Voir par exemple :
http://minilien.com/?L7yOvuTFji (qui pointe vers) http://groups.google.com/groups?hl=fr&lr=&ie=UTF-8&oe=UTF-8&selm 03830-25652-738760%40foorum.com
En conclusion, c'est theoriquement possible, si l'on considere que certains lecteurs de jpg tres repandus peuvent avoir des failles permettant d'executer du code, mais les contraintes pratiques liees a la creation d'un tel virus sont si importantes que ca n'a jamais ete realise' en pratique.
Je ne conteste pas, des failles du même type que celles qui font faire n'importe quoi à IE à partir d'un simple message.
Les anti-virus sont là pour détecter ces exploits/virus, c'est tout, mais on ne peut rien faire de sérieux en protection si on laisse des failles de ce type.
Roland Garcia
AMcD
Roland Garcia wrote:
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à l'infection due à l'exploitation d'une faille ne change rien au résultat COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce principe. Dont des virus :o).
-- AMcD
http://arnold.mcdonald.free.fr/
Roland Garcia wrote:
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire
n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation
d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la
sécurité de base qui s'applique aussi bien aux Unix, changer le
lecteur
ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand
tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se
reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à
l'infection due à l'exploitation d'une faille ne change rien au résultat
COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce
principe. Dont des virus :o).
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à l'infection due à l'exploitation d'une faille ne change rien au résultat COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce principe. Dont des virus :o).
-- AMcD
http://arnold.mcdonald.free.fr/
Roland Garcia
Roland Garcia wrote:
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à l'infection due à l'exploitation d'une faille ne change rien au résultat COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce principe. Dont des virus :o)
Dans ce cas les CERTs emploient les expressions justes de risque de: - Exécution de code arbitraire à distance - Compromission du système - Exécution de commandes arbitraires
Ce qui inclus le risque de virus mais également bien d'autres choses possibles.
Roland Garcia
Roland Garcia wrote:
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire
n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation
d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la
sécurité de base qui s'applique aussi bien aux Unix, changer le
lecteur
ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand
tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se
reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à
l'infection due à l'exploitation d'une faille ne change rien au résultat
COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce
principe. Dont des virus :o)
Dans ce cas les CERTs emploient les expressions justes de risque de:
- Exécution de code arbitraire à distance
- Compromission du système
- Exécution de commandes arbitraires
Ce qui inclus le risque de virus mais également bien d'autres choses
possibles.
Dans le cas que tu décrit ça s'appelle un PC trojanisé, ça peut faire n'importe quoi dont ton truc, sauf le café.
Sinon comme le dit Tweakie la seule possibilité est l'exploitation d'une faille du lecteur. Ce n'est plus de la virologie mais bien de la sécurité de base qui s'applique aussi bien aux Unix, changer le lecteur ou boucher le trou.
Je ne conteste pas, mais, à mon avis, tu joues sur les mots. Au final, quand tu cliqueras sur une image, un code contenu dedans pourra s'exécuter, se reproduire. C'est un virus. Qu'il y ait une étape supplémentaire à l'infection due à l'exploitation d'une faille ne change rien au résultat COMPORTEMENTAL final.
Je t'accorde bien volontiers que l'on peut faire n'importe quoi selon ce principe. Dont des virus :o)
Dans ce cas les CERTs emploient les expressions justes de risque de: - Exécution de code arbitraire à distance - Compromission du système - Exécution de commandes arbitraires
Ce qui inclus le risque de virus mais également bien d'autres choses possibles.
Roland Garcia
Frederic Bonroy
Guillermito wrote:
Perrun n'infecte pas les JPG.
C'est vrai, il vaudrait mieux dire qu'il ajoute son propre code aux fichiers JPEG - en précisant pour ceux qui ne savent pas que cela ne constitue pas une véritable infection.
Guillermito wrote:
Perrun n'infecte pas les JPG.
C'est vrai, il vaudrait mieux dire qu'il ajoute son propre code aux
fichiers JPEG - en précisant pour ceux qui ne savent pas que cela ne
constitue pas une véritable infection.
C'est vrai, il vaudrait mieux dire qu'il ajoute son propre code aux fichiers JPEG - en précisant pour ceux qui ne savent pas que cela ne constitue pas une véritable infection.
Frederic Bonroy
AMcD wrote:
Ou que t'injecte le code responsable dans les visualisatuers d'image du marché.
Et qui injecterait ce code? Le virus? Mais comment, puisqu'il faut d'abord injecter du code pour qu'il puisse fonctionner? ;-)
Le virus ne s'exécute et ne se reproduit pas tout seul ! Le loader doit le charger en mémoire d'abord et le lancer ensuite...
Oui, mais bon, là tu vas un peu loin, hein. :-) Dans ce cas on peut carrément dire aussi que le système d'exploitation non plus ne se lance pas tout seul, pour ça il faut d'abord un secteur d'amorce qui à son tour requiert le BIOS qui lui a besoin de...
Il faut bien instaurer une limite quelque part, et le seuil entre le système d'exploitation et un programme externe me paraît être très logique.
Non, seulement le pogramme. Le virus fait partie du fichier infecté, l'image, comme dans le premier cas il afit partie du fichier infecté (l'exécutable).
Ce n'est absolument pas comparable, dans le cas du fichier exécutable infecté, le fichier sain et le virus sont tous les deux faits de code exécutable - donc de données de même nature - alors que dans le cas de l'image "infectée" (on notera les guillemets) les données virales ne sont pas de même nature que les données saines. C'est pour cela que ce n'est pas une véritable infection.
AMcD wrote:
Ou que t'injecte le code responsable dans les visualisatuers d'image du
marché.
Et qui injecterait ce code? Le virus? Mais comment, puisqu'il faut
d'abord injecter du code pour qu'il puisse fonctionner? ;-)
Le virus ne s'exécute et ne se reproduit pas tout seul ! Le loader doit le
charger en mémoire d'abord et le lancer ensuite...
Oui, mais bon, là tu vas un peu loin, hein. :-) Dans ce cas on peut
carrément dire aussi que le système d'exploitation non plus ne se
lance pas tout seul, pour ça il faut d'abord un secteur d'amorce
qui à son tour requiert le BIOS qui lui a besoin de...
Il faut bien instaurer une limite quelque part, et le seuil entre
le système d'exploitation et un programme externe me paraît être
très logique.
Non, seulement le pogramme. Le virus fait partie du fichier infecté,
l'image, comme dans le premier cas il afit partie du fichier infecté
(l'exécutable).
Ce n'est absolument pas comparable, dans le cas du fichier exécutable
infecté, le fichier sain et le virus sont tous les deux faits de code
exécutable - donc de données de même nature - alors que dans le cas de
l'image "infectée" (on notera les guillemets) les données virales ne
sont pas de même nature que les données saines. C'est pour cela que
ce n'est pas une véritable infection.
Ou que t'injecte le code responsable dans les visualisatuers d'image du marché.
Et qui injecterait ce code? Le virus? Mais comment, puisqu'il faut d'abord injecter du code pour qu'il puisse fonctionner? ;-)
Le virus ne s'exécute et ne se reproduit pas tout seul ! Le loader doit le charger en mémoire d'abord et le lancer ensuite...
Oui, mais bon, là tu vas un peu loin, hein. :-) Dans ce cas on peut carrément dire aussi que le système d'exploitation non plus ne se lance pas tout seul, pour ça il faut d'abord un secteur d'amorce qui à son tour requiert le BIOS qui lui a besoin de...
Il faut bien instaurer une limite quelque part, et le seuil entre le système d'exploitation et un programme externe me paraît être très logique.
Non, seulement le pogramme. Le virus fait partie du fichier infecté, l'image, comme dans le premier cas il afit partie du fichier infecté (l'exécutable).
Ce n'est absolument pas comparable, dans le cas du fichier exécutable infecté, le fichier sain et le virus sont tous les deux faits de code exécutable - donc de données de même nature - alors que dans le cas de l'image "infectée" (on notera les guillemets) les données virales ne sont pas de même nature que les données saines. C'est pour cela que ce n'est pas une véritable infection.
Frederic Bonroy
AMcD wrote:
1) L'étape supplémentaire. Il faut, en effet, exécuter le lecteur d'image qui "exécutera" le code dans l'image. Cela dit, les virus de macro possèdent aussi cette étape intermédiaire : c'est Word/Exel/Etc. qui lancent le moteur de script VBS. Cela ne gêne pourtant personne dans ce cas ;o).
Ce n'est pas pareil. Un virus macro est exécutée de manière totalement transparente. Le moteur de script est intégré à Word/Excel, tout comme la routine de chargement d'exécutables est intégrée au système d'exploitation - du moins à ma connaissance. Je suppose que c'est une DLL? Ça ne fait rien. Il n'y a pas besoin d'intermédiaire qui a priori n'a à rien à voir avec Word/Excel.
AMcD wrote:
1) L'étape supplémentaire. Il faut, en effet, exécuter le lecteur d'image
qui "exécutera" le code dans l'image. Cela dit, les virus de macro possèdent
aussi cette étape intermédiaire : c'est Word/Exel/Etc. qui lancent le moteur
de script VBS. Cela ne gêne pourtant personne dans ce cas ;o).
Ce n'est pas pareil. Un virus macro est exécutée de manière totalement
transparente. Le moteur de script est intégré à Word/Excel, tout comme
la routine de chargement d'exécutables est intégrée au système
d'exploitation - du moins à ma connaissance. Je suppose que c'est une
DLL? Ça ne fait rien. Il n'y a pas besoin d'intermédiaire qui a priori
n'a à rien à voir avec Word/Excel.
1) L'étape supplémentaire. Il faut, en effet, exécuter le lecteur d'image qui "exécutera" le code dans l'image. Cela dit, les virus de macro possèdent aussi cette étape intermédiaire : c'est Word/Exel/Etc. qui lancent le moteur de script VBS. Cela ne gêne pourtant personne dans ce cas ;o).
Ce n'est pas pareil. Un virus macro est exécutée de manière totalement transparente. Le moteur de script est intégré à Word/Excel, tout comme la routine de chargement d'exécutables est intégrée au système d'exploitation - du moins à ma connaissance. Je suppose que c'est une DLL? Ça ne fait rien. Il n'y a pas besoin d'intermédiaire qui a priori n'a à rien à voir avec Word/Excel.
