Salut,
De "fake" mp3 et mpg sont disponibles via P2P et ne sont en fait que des downloaders qui proviennent du site web fastmp3player.com.
Une fois chargés dans Windows Media Player, ils proposent l'installation d'un pseudo lecteur mp3 gratuit (fichier nommé PLAY_MP3.exe qui n'a en fait rien d'un lecteur mp3).
S'en suit ensuite l'installation d'adwares variés sur la machine.
En fait aucune faille n'a été exploitée puisqu'il s 'agit simplement de fichiers .asf dont l'extension a été renommée. WMP se contente de lire le metadata dans le header des fichiers et ensuite execute le script...
Pour désactiver la lecture des scripts .asf par WMP, il faut désactiver certaines options dans la base de registre.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MediaPlayer\Preferences
Et mettre les valeurs suivantes:
PlayerScriptCommandsEnabled: 0 (par défaut est à 0)
WebScriptCommandsEnabled: 0 (par défaut est à 1)
URLAndExitCommandsEnabled: 0 (par défaut est à 1)
Les clefs peuvent ne pas exister, dans ce cas là il faudra les créer (je pense à WebScriptCommandsEnabled et URLAndExitCommandsEnabled essentiellement).
Je n'ai pas testé ces modifications, mais l'info provient d'une source sérieuse.
Citation :
du moment que je ne les execute pas il ne risque pas de ce repandre?
|
Ben s'ils sont restés dans les dossiers de partage P2P, ils ne se propageront pas à proprement parlé mais ils feront certainement d'autres victimes...
Message édité par Holle le 14-06-2008 à 04:56:51