Attention lien infecté sur Steam

Attention lien infecté sur Steam - Virus/Spywares - Windows & Software

Marsh Posté le 15-12-2014 à 09:18:45    

Bonjour à tous,
 
Ce matin en me connectant sur Steam j'ai reçu un message d'un contact dans ma liste d'ami: "hahaha, lol http://look-img.***/screenshot_05_12.png/"
 
A ma grande surprise en cliquant sur le lien (ne me doutant de rien vu que c'est une personne de confiance avec qui je parle régulièrement) on me propose de télécharger un fichier .scr ?
 
Par curiosité je décide d'uploader le fichier sur le site : https://www.virustotal.com/fr/file/ [...] /analysis/
 
Avec ce type de faille on peut apparemment exécuter du code à distance ( microsoft n'a d'ailleurs toujours pas bouché la faille?).  
Pour l'envoi du message à ces contacts , je sais pas si c'est manuel ou automatique mais en tout cas je vous conseille de faire très attention si un contact même de confiance vous envoie quelque chose à télécharger.
 
 :jap:

Reply

Marsh Posté le 15-12-2014 à 09:18:45   

Reply

Marsh Posté le 15-12-2014 à 12:32:06    

en même temps, les fichier scr ca fait une paye que c'est utilisé pour des virus et ton antivirus aurait du te bloquer le téléchargement. ou au moins le lancement


---------------
#mais-chut
Reply

Marsh Posté le 15-12-2014 à 18:25:15    

Z_cool a écrit :

en même temps, les fichier scr ca fait une paye que c'est utilisé pour des virus et ton antivirus aurait du te bloquer le téléchargement. ou au moins le lancement


 
J'ai bit defender internet security 2015 et il ne détecte rien du tout ! D'ailleurs j'ai été surpris par le peu d'antivirus qu'il le détecte sur virus total ! :ouch:
 
Kaspersky, Gdata, Mcafee, Fsecure pour ne citer qu'eux n'y voient que du feu !! Le fichier est peut être trop récent et pas encore référencé ?

Message cité 1 fois
Message édité par Profil supprimé le 15-12-2014 à 18:28:20
Reply

Marsh Posté le 15-12-2014 à 19:54:16    

 

Virus total fonctionne avec les bases installées des AV (signatures)

 

Les antivirus installés sur nos PC ont d'autres fonctionnalités pour détecter une menace (détection temps réel avec du comportemental par ex etc)

 

Ensuite il faut savoir que ces infections sont de type : Dropper et Payload  (je simplifie car cela peut etre plus compliqué que cela et je n'entre pas dans les détails pour dire qui est quoi et ce qu'il fait. Je pense que via google il y a les réponses)

 

Les fichiers avec une extension .scr sont en général des Dropper (ca fait des années que c'est utilisé comme l'indique justement Z_Cool) , et ces dropper peuvent être modifiés à la chaîne automatiquement et comportent donc une signature aléatoire (je me rappelle de l'étude d'un où il y avait 1500 variantes à l'heure

 

Donc un AV qui est basé UNIQUEMENT sur des signatures ne verra RIEN (sauf si elle ressemble à quelque chose de connue et l'AV dire qu'il a trouvé un "Trojan-Downloader" )
AUCUN labo d'un AV au monde n'est capable de suivre. C'est pour cela que les AV utilisent d'autres méthodes de détection

 

Mais pour que le Dropper s'installe, à la base il y souvent soit un fichier téléchargé (les pièges du P2P), ou le plus courant une redirection ou un lien vers un site WEB piégé qui redirige vers des exploits (l'exploit peut etre lié à une faille d'un programme connu, comme IE, ou Flash Player, ou Adobe reader etc (pour les plus connus)

 

Ensuite derrière la mise en marche de l'infection on ne sait pas toujours ce qui se cache. Ca peut aller de la redirection et écoute d'un port particulier, à un rootkit et cryptage de tous les fichiers du disk avec une clé aléatoire et spécifique pour chaque fichier (comme le fameux virus gendarmerie)

 

Donc jopopodu13, tu as eu raison de te méfier, et de soumettre quand meme le fichier, car on ne s'amuse pas à tester un lien "juste pour voir si l'antivirus le détecte", surtout qu'en général il laisse passer le dropper - voir le pb des signature plus haut - ou le bloquera ensuite lorsqu'il s'activera ou ne fera rien car le site distant ne fonctionne plus, ou  ne se réveillera que pour le payload. Si il se réveille...

Ensuite nombre d'infections ont souvent une vie très courte, car rapidement détectées,  et la redirection sur le site où se trouve la véritable infection ne fonctionnera plus.
On peut se retrouver avec un dropper inactif, car le site distant n'existe plus

 

Bon j'ai schématisé mais c'est juste pour donner une idée du processus

 

Ensuite le fait de recevoir des messages avec PJ meme de quelqu'un qui figure dans son carnet d'adresse doit toujours être considéré comme suspect. La personne distante peut potentiellement être infectée et le virus pioche dans le carnet d'adresse pour se dupliquer

 


Message édité par Profil supprimé le 15-12-2014 à 20:00:37
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed