??? Image JPEG potentiel à VIRUS

17/06-2002 à 12:49

Les Photos Jpeg peuvent contenir des Virus! Sunday 16 June @ 13:20:41

Un alerte virale est désormais lancée , en effet on a recemment découvert un virus capable de se transmettre à l'aide des images au format Jpeg. Actuellement, il n'est pas si dangereux que ça car il n'est pas très répendu et ces dangers ne sont pas énormes. Mais, cela peut faire naître une autre génération de Virus ->Les Photos Jpeg peuvent contenir des Virus!
Posté le Sunday 16 June @ 13:20:41 CEST par gandoura

Ce pionnier dans le domaine des virus par photos est désormais surnommé le
"contaminateur de Jpeg", son nom officiel est "W32/Perrun", mais n'est
actuellement qu'en laboratoire mais fait déjà beaucoup parler de lui. "Ce programme est davantage une curiosité informatique qu'une réelle menace", affirme Vincent Gulotto, vice-président de l'équipe de Antivirus NetWork Associates. En effet, il n'affecte que les ordinateurs tournant sur WinDows et comporte deux sous-programmes:

Mais voilà, un tel virus pour semble dangereux? Le faite d'ouvrir une image au format Jpeg inféctée avec ce virus ne suffit pas pour infecter votre pc, il faut aussi être infecté pas le virus extracteur du code viral depuis la photo. Ainsi la probalité d'être infecté par les deux virus (extracteur, excuteur) est très faible et presque minime. "Ce n'est pas un
problème grave", poursuit VinCent Gulloto. En effet il affirme que une photo au format Jpeg infectée est facilment repérable car elle est altérée par le virus qui a remplacé une partie de son code propre!

Enfin, ce genre de virus, n'est pas tout à fait nouveau car l'année dernière un bon nombre d'internautes on été infectés par un virus semblable à celui çi appelé Hybris.

Et oui, la course au virus est vraiment loin d'être finie...
Gandoura Mehdi, NetScop.Com

http://myweb.skreel.org/modules.php?name=News&file=article&sid=271

Voilà! Juste une info pour votre plaisir analytique!

17/06-2002 à 13:18c'est marrant, mais je vois pas l'intéret.... Autant mettre TOUT le virus dans le virus lui-même, au lieu de ne le déclancher que quand on ouvre une image.

enfin bon, moi je suis pas concerné, j'ai même pas d'antivirus (bon ok ca m'a couté une réinstallation il y a deux semaines quand je me suis tapé le kazaa worm mais bon...)

----------

17/06-2002 à 13:33Bonjour digisauvé,
Merci de l'info, en complément, voilà un article issu de www.secuser.com/ sur ce virus

Virus
Perrun

Perrun est un concept-virus non destructif et non répandu qui a la particularité de cacher une partie de son code dans des images au format JPEG. Les images .JPG ainsi modifiée ne sont cependant pas infectée et ne peuvent donc pas contaminer un ordinateur sain. Ce mode de fonctionnement est d'ailleurs plus performant en terme marketing que viral : du fait notamment de la confusion chez nombre d'internautes entre code viral (inactif et inoffensif) et virus (actif et capable de contaminer un ordinateur), il explique à lui seul la médiatisation de Perrun.

Perrun est un fichier exécutable généralement nommé PROOF.EXE (11,8 Ko) capable d'infecter les ordinateurs sous Windows 32 bits (95/ 98/ Me/ NT/ 2000/ XP). Si ce fichier est exécuté, le virus copie sur le disque un fichier EXTRK.EXE (5,6 Ko) puis modifie la base de registres (HKEY_LOCAL_MACHINE\ Software\ CLASSES\ jpegfile\ shell\ open\ command ) afin que ce fichier soit exécuté à la place du visualisateur d'images habituellement associé au format JPEG. Lorsque l'utilisateur double-clique sur une image .JPG, le programme extracteur EXTRK.EXE vérifie alors le contenu du fichier : s'il y trouve du code viral, il l'extrait et l'exécute pour infecter l'ordinateur, sinon l'image est affichée.

Une personne possédant un antivirus à jour sera protégée contre Perrun et ses éventuels dérivés au même titre que contre les autres virus, car il suffit que l'antivirus neutralise le programme extracteur pour rétablir l'innocuité de toutes les images contenant du code viral compatible. La seule véritable nouveauté de ce virus est la possibilité du fait des utilisateurs négligeants de voir un jour circuler des documents JPEG (ou autres) de taille anormalement élevée, car comportant du contenu parasite (11 Ko de code viral en plus par image dans le cas de Perrun). Si ça n'est pas déjà le cas, il est donc recommandé de configurer votre antivirus pour qu'il scanne toutes les extensions de fichiers lors d'une analyse hebdomadaire, afin de nettoyer lesdits fichiers d'un éventuel contenu importun.

Reste qu'en ciblant les fichiers JPEG, Perrun se condamne à ne pouvoir infecter que les ordinateurs qu'il a déjà contaminé (possédant le programme extracteur), donc aucune propagation d'un virus actif n'est possible via une image. Il est d'ailleurs quelque peu regrettable que l'éditeur qui a médiatisé l'existence de Perrun ait choisi de le faire en des termes peu clairs voire alarmistes, favorisant ainsi la diffusion d'informations fausses ou inutilement inquiétantes : "premier virus capable d'infecter des images numériques au format .jpg" (Reuters), "premier virus de l'histoire capable d'infecter les fichiers images au format JPEG" (Silicon.fr), "Les «.jpg» peuvent aussi être vérolés" (Lexpansion.com), "un nouveau virus pourrait se transmettre via des images au format JPeg" (ZDNet) ou encore "il devient plus que jamais nécessaire de prendre garde aux fichiers JPEG" (JDNet). Ce traitement médiatique excessif voire erroné pourrait valoir à Perrun de se retrouver également classé parmi les hoax dans les prochains jours.

----------
Gérald
msdgmedia.free.fr

17/06-2002 à 13:37Bonjour digisauvé,
Merci de l'info, en complément, voilà un article issu de www.secuser.com/ sur ce virus

Virus
Perrun

Perrun est un concept-virus non destructif et non répandu qui a la particularité de cacher une partie de son code dans des images au format JPEG. Les images .JPG ainsi modifiée ne sont cependant pas infectée et ne peuvent donc pas contaminer un ordinateur sain. Ce mode de fonctionnement est d'ailleurs plus performant en terme marketing que viral : du fait notamment de la confusion chez nombre d'internautes entre code viral (inactif et inoffensif) et virus (actif et capable de contaminer un ordinateur), il explique à lui seul la médiatisation de Perrun.

Perrun est un fichier exécutable généralement nommé PROOF.EXE (11,8 Ko) capable d'infecter les ordinateurs sous Windows 32 bits (95/ 98/ Me/ NT/ 2000/ XP). Si ce fichier est exécuté, le virus copie sur le disque un fichier EXTRK.EXE (5,6 Ko) puis modifie la base de registres (HKEY_LOCAL_MACHINE\ Software\ CLASSES\ jpegfile\ shell\ open\ command ) afin que ce fichier soit exécuté à la place du visualisateur d'images habituellement associé au format JPEG. Lorsque l'utilisateur double-clique sur une image .JPG, le programme extracteur EXTRK.EXE vérifie alors le contenu du fichier : s'il y trouve du code viral, il l'extrait et l'exécute pour infecter l'ordinateur, sinon l'image est affichée.

Une personne possédant un antivirus à jour sera protégée contre Perrun et ses éventuels dérivés au même titre que contre les autres virus, car il suffit que l'antivirus neutralise le programme extracteur pour rétablir l'innocuité de toutes les images contenant du code viral compatible. La seule véritable nouveauté de ce virus est la possibilité du fait des utilisateurs négligeants de voir un jour circuler des documents JPEG (ou autres) de taille anormalement élevée, car comportant du contenu parasite (11 Ko de code viral en plus par image dans le cas de Perrun). Si ça n'est pas déjà le cas, il est donc recommandé de configurer votre antivirus pour qu'il scanne toutes les extensions de fichiers lors d'une analyse hebdomadaire, afin de nettoyer lesdits fichiers d'un éventuel contenu importun.

Reste qu'en ciblant les fichiers JPEG, Perrun se condamne à ne pouvoir infecter que les ordinateurs qu'il a déjà contaminé (possédant le programme extracteur), donc aucune propagation d'un virus actif n'est possible via une image. Il est d'ailleurs quelque peu regrettable que l'éditeur qui a médiatisé l'existence de Perrun ait choisi de le faire en des termes peu clairs voire alarmistes, favorisant ainsi la diffusion d'informations fausses ou inutilement inquiétantes : "premier virus capable d'infecter des images numériques au format .jpg" (Reuters), "premier virus de l'histoire capable d'infecter les fichiers images au format JPEG" (Silicon.fr), "Les «.jpg» peuvent aussi être vérolés" (Lexpansion.com), "un nouveau virus pourrait se transmettre via des images au format JPeg" (ZDNet) ou encore "il devient plus que jamais nécessaire de prendre garde aux fichiers JPEG" (JDNet). Ce traitement médiatique excessif voire erroné pourrait valoir à Perrun de se retrouver également classé parmi les hoax dans les prochains jours.

----------
Gérald
msdgmedia.free.fr

17/06-2002 à 14:14