Ce nouveau malware se présente sous la forme d’un fichier avec l’extension .jpg pour tromper l’utilisateur, mais c’est un authentique fichier WMF qui est interprété comme tel grâce à son en-tête. En réalité l’extension peut être n’importe quelle extension de type image.
Il se compose de trois parties : un début constitué par une séquence d’octets poubelle (junk), assez longue pour tromper certains systèmes de filtrage ; une charge nocive ; une queue formée d’une séquence d’octets aléatoires. La charge nocive est capable de télécharger sur l’ordinateur divers types de malwares, comme cela a déjà été expliqué dans une précédente actualité.
En quoi cette information est-elle inquiétante ?
À la date du 1er janvier 06 aucun antivirus ne détecte ce nouvel exploit. En outre la structure du fichier rend très difficile l’établissement d’une signature facilement utilisable par les antivirus. Le fichier n’a pas besoin d’être ouvert pour exploiter la faille : si le fichier est sauvegardé dans un répertoire la charge nocive s’exécutera dès qu’un outil d’indexation le prendra en compte, ou simplement si vous ouvrez le répertoire avec l’affichage en mode vignette (car Windows est bien obligé de lire le fichier pour créer la vignette). Enfin ces fichiers WMF peuvent arriver par des voies très diverses : sites Web piégés, pièce attachée à un mail, messagerie instantanée, groupe de news consacrés aux images, P2P, documents Word…
Pourquoi cette faille pose-t-elle un problème particulier ?
Les images de type BMP, GIF ou JPEG sont des suites d’octets, éventuellement compressés, qui représentent des pixels. Autrement dit ce sont des données passives (images bitmap). Au contraire dans une image WMF (image de type vectoriel) les divers objets (lignes droites ou courbes, polygones, cercles, surfaces…) sont représentés par des formules mathématiques qui doivent être calculées pour reconstruire l’image. Les fichiers WMF peuvent donc appeler des procédures externes (contenues dans des dll du système) et si cet appel est spécialement conformé, la procédure appelée pourra être utilisée pour exécuter le code nocif.
On peut imaginer que la correction de la faille puisse être délicate car elle oblige à repenser le mécanisme de la fonction exploitée, sans compter que d’autres fonctions peuvent peut-être être utilisées à l’avenir. Il n’existe pour le moment aucun correctif de Microsoft. Bien que cela ne semble pas avoir été encore testé, Windows 98 et Millenium sont supposés vulnérables et le SANS (organisme de sécurité informatique bien connu) avance qu’il n’y aura pas de correctif pour ces anciennes versions.
Il existe un patch non officiel distribué par le SANS. Il a été initialement conçu pour Windows XP SP2, mais il a été modifié pour fonctionner aussi avec le SP1 et Windows 2000. Si vous utilisez ce patch, ce sera à vos risques et périls, bien qu’il ait été soigneusement vérifié. Le SANS suggère d’utiliser ce patch et, par sécurité, d’inactiver la dll leurrée en exécutant la ligne de commande suivante qui supprimera son enregistrement dans la base de registre :
regsvr32 -u %windir%\system32\shimgvw.dll
Quand le patch officiel sera sorti, désinstaller le patch non officiel (par Ajout et suppression de programmes) et réenregistrer la dll par :
regsvr32 shimgvw.dll
Vous êtes toutefois informés que l’inactivation de cette dll supprime l’affichage des vignettes et le fonctionnement de l’aperçu des images et des télécopies de Windows. En outre cette dll peut être réenregistrée à votre insu, par exemple par un cheval de Troie. Enfin le patch non officiel ne supprime pas l’infection, si par malheur vous en avez été victime.
Votre décision quant à l’utilisation de ces solutions provisoires dépend donc du niveau de risque que vous prenez dans votre utilisation d’Internet. Notez toutefois que des sites de confiance peuvent être compromis par des pirates qui peuvent rajouter des images WMF piégées (cela s’est produit pour knoppix-std.org).