trojan dans des mp3

trojan dans des mp3 - Virus/Spywares - Windows & Software

Marsh Posté le 11-06-2008 à 19:48:03    

plop,
 
je vien de scanner un DD avec kapersky et ce dernier a trouver un trojan dans 3 mp3.
comment cela est ce possible? je pensais que tous ce qui etait virus/trojan/spyware etait uniquement trouvable dans des fichier executabla (en tous cas, je pensais que les fichier mp3 wav ogg avi mkv ogm bref tous ce qui est audio/video/image ne pouvais en contenir)
kapersky deconne ou alors ces mp3 sont bien infecter?
 
merci

Reply

Marsh Posté le 11-06-2008 à 19:48:03   

Reply

Marsh Posté le 12-06-2008 à 13:51:58    

Bonjour.
 
Ce sont des mp3 que tu connais ?
 
Tu as affiché les extensions des fichiers dont le type est connu ? (options des dossiers, onglet affichage) : il se peut que ces fichiers soient xxxxxx.mp3.truc (truc pouvant être une extension active genre .exe, .com etc ...)

Reply

Marsh Posté le 12-06-2008 à 21:02:25    

non, c'etait bien des .mp3
 
j'aurais bien voulu en recuperer un sur ma clef pour regarder ça mais malheuresement, mon college a deja effacer ces fichiers :/
 
je ne comprend pas comment ça peut marcher car de toute façon ces mp3 seron ensuite lu par media player ou tout autre lecteur audio.
donc aucune chance d'executer le trojan non?

Reply

Marsh Posté le 13-06-2008 à 09:46:14    

Pas de faille inhérente au format .mp3 en lui même. Par contre, il pourrait y avoir un bug dans une .dll ou un lecteur media en particulier qui permettrait un buffer overflow et l'exécution de code contenu dans le mp3.

Reply

Marsh Posté le 13-06-2008 à 17:10:09    

Sinon, peut-être un problème de métafichiers accolés aux mp3 eux-même (rootik ???) : tout dépend de la source des mp3 aussi :D


Message édité par Profil supprimé le 13-06-2008 à 17:11:06
Reply

Marsh Posté le 13-06-2008 à 21:51:23    

ben la provence des mp3 etait bien sur du genre emule ou autre (il avait des tonnes de lociciel p2p installé)
 
je vais esseyer de les recuperer avec "get data back".
 
du moment que je ne les execute pas il ne risque pas de ce repandre?

Reply

Marsh Posté le 14-06-2008 à 04:53:01    

Salut,
 
De "fake" mp3 et mpg sont disponibles via P2P et ne sont en fait que des downloaders qui proviennent du site web fastmp3player.com.  
Une fois chargés dans Windows Media Player, ils proposent l'installation d'un pseudo lecteur mp3 gratuit (fichier nommé PLAY_MP3.exe qui n'a en fait rien d'un lecteur mp3).
S'en suit ensuite l'installation d'adwares variés sur la machine.
En fait aucune faille n'a été exploitée puisqu'il s 'agit simplement de fichiers .asf dont l'extension a été renommée. WMP se contente de lire le metadata dans le header des fichiers et ensuite execute le script...
 
Pour désactiver la lecture des scripts .asf par WMP, il faut désactiver certaines options dans la base de registre.
 
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences
 
Et mettre les valeurs suivantes:
 
PlayerScriptCommandsEnabled: 0 (par défaut est à 0)
WebScriptCommandsEnabled: 0 (par défaut est à 1)
URLAndExitCommandsEnabled: 0 (par défaut est à 1)
 
Les clefs peuvent ne pas exister, dans ce cas là il faudra les créer (je pense à WebScriptCommandsEnabled  et  URLAndExitCommandsEnabled essentiellement).
Je n'ai pas testé ces modifications, mais l'info provient d'une source sérieuse.
 

Citation :

du moment que je ne les execute pas il ne risque pas de ce repandre?


Ben s'ils sont restés dans les dossiers de partage P2P, ils ne se propageront pas à proprement parlé mais ils feront certainement d'autres victimes...


Message édité par Holle le 14-06-2008 à 04:56:51
Reply

Marsh Posté le 14-06-2008 à 17:49:56    

merci pour l'explication ;)
 
on ne pouvais pas vraiment appeler ça trojan donc, c'est plus un piege a con^^

Reply

Marsh Posté le 15-08-2008 à 08:50:31    

salut  
pour reprendre l'expression de SLIDERS ALPHA, il y avait un piege, et je suis le con , bref il m'arrivait la meme maisaventure avec "fastmp3player".
il y a t il un risque pour mon PC?
une solution pour le supprimer ?
 
merci de vos reponses

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed