Virus jpeg : zéro pointé pour la plupart des antivirus du marché

[RSSBot]

Selon le rapport d'un chercheur indépendant, un seul antivirus sur les 23 testés aurait détecté une image jpeg piégée selon un principe pourtant bien connu. Et l'on retrouve parmi les mauvais élèves des grands noms tels McAfee, Sophos, Trend Micro ou Kaspersky Antivirus. Au final, seul Norton Antivirus aurait eu un doute sur le fichier analysé. Pas brillant...

Le test mené par Andrey Bayora est...{br}{br}Cliquez-ici pour lire l'article{br}

[Ayakano]

Bonjour,
Je viens de télécharger l'image que j'ai visualisé avec acdsee ... XP a aussi affiché une miniature ...
Bon, est ce que mon PC est définitivement contaminé ???
J'ai Panda Antivirus qui n'a rien detecté, bien sûr ...
Merçi de votre aide !

[Ayakano]

"The bulzano2.jpg demo file (from the web site) has the valid
exploit and will connect back to 127.0.0.1 at port 777. You can test
it, if you run "nc.exe ?l ?p 777" in the test machine, where you run
JPEG. Basically, this is not a virus or malicious code, it can't harm
or compromise, but take a look how many antivirus vendors marked it as
"backdoor"... "


C'est vrai qu'il faut taper "nc -l -p 777" avant ...
C'est quoi d'ailleur cette commande ??
Bon, vu que je l'ai pas fait ... cela n'a pas du vraiment ouvrir une "backdoor" ...
Je pense pas avoir abimé mon PC ...

[keul]

A mon avis, le fichier étant un fichier test, il ne fait pas de dommage, n'active pas de backdors ou autre

et la commande
run "nc.exe ?l ?p 777"
doit servir à vérifier si le fichier à pu s'installer ou pas à mon avis, enfin bon

De tute facon, je ne sait pas si on peut vraiment parler de virus pour une image, a la base, un virus est un programme.
Et le problème viens du fait INADMISSIBLE que de programmes s'ammusent à EXECTUER de images à cause de failles -_-, après les mails en HTML qui s'executent, les fichiers .txt qui vont s'éexecuter...

De plus, si l'antivirus devrait vérifier toutes les images en plus de programmes, il prendrait beaucoup plus de ressources systèmes/temps d'accès, au lieu de mettre à jour votre PC, mettez à jour votre OS avant
les virus exploitent souvent des failles, ne detectez pas les virus, bouchez les failles, là est le problème (un virus se base généralement sur une faille ou la maiconaissance de l'utilisateur).

[A voir en vidéo sur Futura]

[Ayakano]

C'est rassurant en tout cas ... mais il a qd même dit que ça ouvre une porte (port 777) ...

[Jeremy]

En fait le code contenue dans l'image établie une connection sur le port 777 de votre machine. En tapant nc -l -p 777 on écoute ce qui arrive sur le port 777.
Donc votre ordinateur essayera de se connecter à lui même.

Ca permet simplement de démontrer le concept, c'est totalement sans danger. On pourrait par contre tres simplement modifier le code pour qu'il établisse une connection avec un ordinateur distant ..

[yoda1234]

bonjour
une question.
deux reponses pour le mème prix.(suivre le lien).

[Ayakano]

Ah ! me voilà rassuré !

[Psykokarl]

Je me permets de poser une question faussement naive...

En quoi une image qui est en gros un fichier de bits peut il contenir un code malveillant à partir du moment qu'elle est traduite par un programme qui ne fait que traduire un fichier en image (peut importe son contenu) ?

Si j'etais parano je penserai que c'est un complot des createurs de logiciels de traitement d'images pour executer du code sur nos machines à notre insu -_-' ...

[william.d]

Bonjour,

Voila, j'ai fait le test avec le fichier incriminer que l'on peut télécharger ici: http://www.hiddenbit.org/demo_files/bulzano2.zip

Avant de le décompresser, j'ai fait un scan de ce fichier avec mon antivirus McAfee Virusscan (version 9.0, dernière mise à jour 09/03/2005), l'antivirus a aussitôt réagit: FICHIER INFECTER 1, NOM DU CHEVAL DE TROIE: BackDoor-Roxe

Je crois que cet article est juste un coup de pub pour Norton antivirus (qui certe est un bon antivirus), mais après une dizaine d'années d'informatique, je crois que pour ma part McAfee reste un des meilleurs antivirus (si pas le meilleur).

William.d

[Futura]

Il n'y a pas d'antivirus parfait ... McAfee pour ma part a déjà eu des râtés pour certains vers ... Quant à dire que c'est de la pub pour NAV ... L'auteur n'a pas d'action chez eux et en tous cas est assez critique vis à vis de tous les produits AV. Pour connaître pas mal de ses articles, il ne fait pas de cadeau à qui que ce soit quand il s'agit de sécurité.

[JPL]

Je me permets de poser une question faussement naive...
En quoi une image qui est en gros un fichier de bits peut il contenir un code malveillant à partir du moment qu'elle est traduite par un programme qui ne fait que traduire un fichier en image (peut importe son contenu) ?

On a longtemps cru (moi le premier) qu'un fichier de données pures (comme des images, mais c'est aussi le cas pour les fichiers pdf, wav...) ne pouvait pas contenir de virus. En fait tout repose sur la manière dont le programmes traitant ces fichiers se comporte. Avec beaucoup de programmes un fichier mal formé de façon inentionnelle peut provoquer un débordement de mémoire tampon (buffer overflow) de ce programme. Et si ce débordement est sollicité de manière astucieuse, les octets excédentaire peuvent être un programme malveillant qui va s'exécuter sur la machine. Or il se trouve que beaucoup de programmes, et de nombreuses parties des systèmes d'exploitation, sont très mal protégés contre les débordemant de mémoire tampon. C'est donc actuellement une voie d'attaque priviligiée par les pirates.

[yoda1234]

bonjour
sur cette page se trouve des precisions sur cette faille.
attention,il y a un lien qui permet de tester si votre antivirus detecte une attaque ou pas.Donc prudence:
windows a jour
votre AV a jour
et pour les logiciels tiers:il existe un outil de detection gdi qui permet de détecter s'il se trouve sur votre machine la Dll qui y est sensible.
apparement mon AV(NOD32) reagit immediatement