Un programme malveillant résidait toujours dans un fichier programme. Dorénavant il est possible qu’un ordinateur soit contaminé par un virus cheval de Troie en affichant une image au format JPEG infectée. Ces images sont très répandues sur le Web et dans les emails au format Web. C’est d’autant plus dangereux que les filtres anti spam laissent passer les spams en image.
Le lanceur du virus cheval de Troie
C’est une faille de sécurité dans un composant logiciel sain, chargé d’afficher les images au format JPEG (GDI+) : il suffit d’afficher une image JPEG contenant un programme malveillant pour que ce dernier, un virus cheval de Troie ou autre, s’exécute sur votre ordinateur.
Tous les logiciels qui utilisent ce composant sont vulnérables.
Une partie des logiciels concernés
La liste fournie par Microsoft :
- Windows XP
- Windows XP Service Pack 1 (SP1)
- Windows Server 2003
- Windows Journal Viewer
- Internet Explorer 6 SP1
- Office XP SP3 : Word 2002, Excel 2002, Outlook 2002, PowerPoint 2002, FrontPage 2002 et Publisher 2002.
- Office 2003 : Word 2003, Excel 2003, Outlook 2003, PowerPoint 2003, FrontPage 2003, Publisher 2003, InfoPath 2003 et OneNote 2003.
- Digital Image Pro 7.0
- Digital Image Pro 9
- Digital Image Suite 9
- Greetings 2002
- Picture It! 2002 (toutes versions)
- Picture It! 7.0 (toutes versions)
- Picture It! 9 (toutes versions, y compris Picture It! Library)
- Producer pour PowerPoint (toutes versions)
- Project 2002 SP1 (toutes versions)
- Project 2003 (toutes les versions)
- Visio 2002 SP2 (toutes versions)
- Visio 2003 (toutes versions)
- Visual Studio .NET 2002 : Visual Basic .NET Standard 2002, Visual C# .NET Standard 2002 et Visual C++ .NET Standard 2002.
- Visual Studio .NET 2003 : Visual Basic .NET Standard 2003, Visual C# .NET Standard 2003, Visual C++ .NET Standard 2003 et Visual J# .NET Standard 2003.
- .NET Framework 1.0 SP2
- .NET Framework 1.0 SDK SP2
- .NET Framework 1.1
- Platform SDK Redistributable : GDI+
D’autres logiciels absents de cette liste sont concernés s’ils utilisent le composant vulnérable (Microsoft n’est pas le seul éditeur touché).
Comment savoir si votre ordinateur est vulnérable
Il semble que qu’un outil développé par le SANS (SysAdmin, Audit, Network, Security) soit le plus efficace. C’est un organisme spécialisé en sécurité informatique. Il recherche une version vulnérable du composant en question (GDI+) dans les fichiers :
- gdiplus.dll
- sxs.dll
- wsxs.dll
- mso.dll
Comment s’en débarrasser
Pour vous débarrasser de cette faille de sécurité, suivez ce lien : bulletin de sécurité MS04-028 de Microsoft qui permet la mise à jour des applications ci-dessus.
Comme d’habitude une visite sur le site de l’éditeur de votre antivirus s’impose. Et modifiez sa configuration pour lui demander d’analyser toutes les extensions de fichier relatives au format JPEG (.jpg, .jpeg …).
Évolution des risques
Cette faille de sécurité a été publiée en septembre 2004. Il est possible que ce soit la première fois qu’un virus cheval de Troie réside dans une véritable image, et qu’il soit exécuté sans le concours d’un autre programme malveillant.
Elle est particulièrement sensible et change la nature des risques réels :
- les images JPEG sont très répandues sur le Web et dans les emails au format Web
- un grand nombre de logiciels utilisent le composant défaillant (GDI+)
- les antivirus sont configurés par défaut pour ne pas analyser les fichiers de données (images, texte, audio …), pour gagner du temps
- jusqu’à présent personne n’a jamais pris de précaution avec ces fichiers, à juste titre.
- l’installation future d’une application pourrait ré-installer le composant vulnérable.
A la date de publication de cet article aucun virus cheval de Troie n’a encore été diffusé par cette faille, mais il est possible que ça arrive.