Exclusivité UnderNews – Comment les pirates vous infectent via des films vidéos piégés

8
85

La technique semble récente et fait un tabac durant les 2 derniers mois sur les réseaux de téléchargement directs et la P2P. Tenter de regarder un simple film peut avoir comme conséquence l’infection de votre machine. Explications exclusives.

UnderNews est tombé sur le cas il y a peu et a jugé plus qu’utile d’enquêter sur le sujet car la technique est omniprésente actuellement sur le Web et tous ceux qui téléchargent des films en ligne sont de potentiels victimes. Imaginez le nombre rien qu’en France… ne parlons même pas des internautes du monde entier, le chiffre serait extravagant !

Certains n’y croiront pas mais pourtant, c’est bel et bien possible. Pour cet article nous allons prendre un exemple réel et testé afin de se fondra au mieux dans le contexte d’infection.

L’un des films les plus prisés du moment et faisant le plus parler de lui sur les réseaux sociaux n’est autre que le sixième opus de la saga Fast & Furious. C’est donc ce film qui nous servira de cobaye… Imaginez que vous avez très envie de le trouver sur le Net en téléchargement, et ce, dans une qualité satisfaisante (pas du TS/SC). Vous vous tournez tout naturellement sur des fichiers du type DVDRIP ou encore BDRIP en version française. Oui, mais soyons réaliste : ce fichier ne peut pas exister, et n’existe pas encore sur le Web à l’heure où cet article est écrit. C’est pour cela qu’UnderNews l’a pris pour exemple.

Bien entendu, nous aurions pu prendre n’importe quel nouveau film récent au hasard via les sites Allociné ou IMBD… Le résultat aurait été identique.

Commençons ! Tapons dans notre moteur de recherche préféré une recherche type : “fast and furious 6 dvdrip french“. De suite, des milliers de résultats s’affichent. Oui, bien que cela soit étonnant, le film est déjà référencé sur plusieurs portails spécialisés. Testons les premiers résultats…. Tous des sites Warez de type annuaire de liens qui présentent des fiches du film, soit avec des liens vides ou inexistants, soit avec des liens pointant vers des pages rémunératrices puis d’un site partenaire (vide), soit vers des sondages qui rapportent un maximum. Bref, vous l’aurez compris, ces sites se sont contentés de s’indexer sur les termes recherchés dans le but de générer des revenus publicitaires. Ils ne représentent pas une menace réelle.

Néanmoins, en passant en page deux des résultats, cela se corse. Des sites BitTorrent et Warez proposent cette fois de vrais fichiers à télécharger ! L’un possédant des downloaders actifs et des seeders, l’autre des commentaires positifs, surement faux créés pour attirer l’internaute pressé.

Tout de suite, nous testons de récupérer ces fichiers. A noter qu’un premier détail peut vous mettre la puce à l’oreille : ce sont tous des fichiers WMV et non des AVI.

Une fois récupérés, les deux films de 702 Mo semblent prêts. Ni une ni deux, nous les exécutons avec notre lecteur préféré qui n’est autre que VLC. Et là, déception, la vidéo s’affiche mais complètement brouillée, un simple spectre de couleur noir, bleu, vert et jaune, sans aucun son. Et oui, vous vous attendiez à quoi ?

Un fichier readme.txt est présent dans le dossier téléchargé, nous l’ouvrons. Il indique que le fichier doit être lu avec Windows Media Player uniquement et qu’il faudra peut être télécharger un codec spécifique… Du coup, nous suivons ces drôles d’instructions et nous l’ouvrons avec WMP. Cette fois, une fenêtre annexe va s’ouvrir par dessus le lecteur et va proposer une recherche de mise à jour du lecteur.

Étrange ! A la fin, une autre fenêtre s’ouvre, représentant un navigateur Web réduit, sous Internet Explorer. Un gros bouton “Download” vert apparaît et nous cliquons. Le fichier provient d’un serveur CDN de type q785.xdonwload.com… Le ‘x’ représente un caractère aléatoire. Visiblement, plusieurs serveurs distribuent ces fichiers malveillants.

Pour aller plus loin, le fichier a été téléchargé sur notre machine de test (sans l’exécuter). C’était un .exe intitulé : vidplayer_9463416834125.exe. La chaîne de chiffre est bien entendue aléatoire ce qui rend le nom unique.

Après un scan VirusTotal, il s’avère que le programme est un adware downloader ou un trojan downloader. Vous êtes étonné ? Il ne faut pas ! C’était prévisible…

Pour l’explication, c’est simple mais il faut le savoir : les fichiers WMA et WMV pour Windows Media Player peuvent embarquer et charger automatiquement une URL ou une demande de licence. Bien entendu, c’est par ce moyen que les pirates piègent les films. Tous ceux qui auront ce type de fichier vidéo sur leur machine et qui tenteront de le lire auront droit à ce téléchargement. Si il y a exécution, leur machine sera infectée. La demande de licence peut être utilisée à des fins malveillantes en vos forçant à payer pour lire une vidéo imaginaire.

Pour éviter le piège, quelques conseils à retenir :

  1. Ne pas chercher des films qui ne peuvent pas être disponibles
  2. Préférez les formats AVI ou MKV qui ne présentent pas ce risque
  3. Lisez attentivement tous les commentaires utilisateurs
  4. Cherchez un statut “vérifié” sur un tracker torrent
  5. Fuyez les fichiers non commentés et possédant beaucoup de seeders et quasiment pas de downloaders
  6. Fuyez les films contenant des instructions, des mots de passe ou des exécutables
  7. Refusez les fichiers chiffrés ou compressés
  8. Utilisez des sites connus et réputés et non des inconnus qui ressortent dans les résultats Google
  9. N’utilisez que des client BitTorrent officiels et non piégés
  10. N’utilisez que des lecteurs vidéos connus et officiels

A noter qu’en se basant sur le hash MD5 du fichier et sur les caractéristiques, nous avons pu trouver le fichier vidéo infecté sur pas moins de 10 trackers et annuaires BitTorrent et près de 8 sites et blogs de DDL Warez.

Prudence, cette pratique malveillante est sournoise et peut faire pas mal de dégâts… Une étude Bitdefender sera bientôt disponible sur le sujet et sera publiée sur UnderNews afin d’ajouter quelques détails techniques à cet article.

8 Commentaires

  1. EXCLUSIF ! les virus tuent vos windows 95 ! Faites attention, ça peut aussi vous nicker votre netscape navigator et piquer vos codes d’accès à votre connexion 56k !
    woah ah ah ah undernews est à la page !

  2. Cet article peut être utile aux débutants en informatique , mais il y en a de moins en moins. Ce type de menace est communément connue depuis plus de 13 ans et nous est présentée comme une révélation, à moins que le rédacteur ne débute en informatique…
    Bref, quoi de neuf docteur ?
    Sinon, on peut effectivement passer en revue tous les malwares de ces 15 dernières années, ça donnera du contenu au site.

  3. utiliser du linux pour tout ce qui est du côté obscure !, vous serez tranquille, vous n’avez rien à installer, utiliser un live cd ubuntu ou fedora par exemple, tout ce fait en ram, vous pouvez télécharger vos films sur clef usb

    @undernews : pourquoi ne pas faire un article sur ce sujet linux et les lives cd, même la fédération national des banques conseilles d’utiliser les lives cd (officiels) pour consulter ces comptes en banques

    • – Merci d’être un peu plus constructif dans vos prochains commentaires –

      L’administrateur d’UnderNews

  4. J’ai déjà rencontré ce problème il y a bien des années mais jamais été jusqu’à la fin et comme le dit El Pacho faut pas être très futé pour aller jusqu’au bout…
    Mais article utile pour ceux qui ne se méfie de rien!

  5. Article useless, c’est comme les jpg compressé avec les exe … ca date de l’an 2000 allo quoi !

    • Bonjour

      de vous a moi les gens qui se font piéger en allant jusqu’au bout de la procédure sont vraiment c..
      Pour ma part je doute qu’il s’agisse de lecteurs de de undergrounds, qui a mon sens ont une bonne approche de ce genre de menaces et qui savent les appréhender.
      Me concernant je n’ai pas d’antivirus, juste malwarebytes et c’est suffisant afin de ne pas utiliser trop de memoire.
      il faudrait aussi préciser dans la liste des conseil d’utiliser Firefox avec adblock installé, penser a effacer les cookies a la fermeture de Firefox, idéalement c ‘est de le faire de maniéré automatique.pour ma part il faut purement et simplement supprimer internet explorer au profit de firefox ou chrome….
      a bon entendeur!

Les commentaires sont fermés.