Le premier virus Flash est né

Cloud

Il n’est pas bien méchant et son mode de réplication devrait limiter sa propagation. Le virus SWF/LFM-926 se distingue de ses congénères par le fait qu’il est le premier à s’attaquer au format Flash de Macromedia. Sa carrière devrait être brève mais son existence montre l’acharnement des auteurs de virus à s’attaquer à toutes les plates-formes.

La voracité des auteurs de virus semble sans limite. Le premier virus qui s’attaque au format Flash de Macromedia vient d’être découvert, mardi 8 janvier, par l’éditeur d’antivirus Sophos. Baptisé SWF/LFM-926, le virus ne semble pas bien dangereux. Les experts estiment que l’agent infectieux ne s’attaque qu’aux fichiers Shockwave-Flash (format .SWF) installés sur le disque dur des utilisateurs. « Le virus vise les webmasters qui exploitent Shockwave pour animer leur site », explique l’éditeur dans son communiqué, « les utilisateurs qui visitent un site web infecté seront à leur tour victimes s’ils téléchargent un fichier Flash et l’ouvrent localement. »

Le virus exploite la possibilité pour un fichier Flash d’exécuter un script. Dans ce cas, le fichier infecté lance un script dans une fenêtre DOS pour générer le fichier contaminant « V.com », d’une taille de 926 octets. Pour être infecté, il faut donc sauvegarder sur son disque une animation Flash, via le Web ou l’e-mail. SWF/LFM-926 ne sait apparemment pas se répliquer, ni s’auto-envoyer à partir du carnet d’adresses de l’utilisateur comme c’est le cas de la plupart des virus récents. Pour le moment, un fichier infecté se contente de lancer une animation qui prévient du téléchargement d’un film Flash (« Loading.Flash.Movie… ») pendant qu’il infecte les autres fichiers .SWF du répertoire. Ce mode de contamination limite sa propagation et, donc, les dégâts qu’il est susceptible de causer.

Principaux vecteurs, les bannières de publicité…

Les bannières publicitaires, nombreuses à exploiter le format Flash, sont les plus susceptibles d’être touchées par le virus. Sophos recommande aux créateurs de sites Web de mettre en place une politique d’authentification de l’intégrité des fichiers Flash qu’ils mettent en ligne, qu’ils soient exécutables (.EXE et .COM) ou au format film.

Si SWF/LFM-926 n’a rien de redoutable, il montre en revanche l’acharnement avec lequel les auteurs malveillants s’escriment à déjouer (défier ?) les systèmes. Les plates-formes qui jusque-là pouvaient encore se croire épargnées vont devoir renforcer la sécurité de leurs solutions. Macromedia devrait publier un patch dans les jours qui viennent.