Virus : Extensions cachées et doubles extensions

Virus : Extensions cachées et doubles extensions

   
En savoir plus :  Retourner à la page précédente   Imprimer cette page   

FAQ Microsoft Windows

Dossier "Virus"

S'équiper
Virus
Typologie des attaques virales
Typologie des charges actives
Typologie des auteurs de virus
A savoir - Quelques risques
Antivirus - Choisir un antivirus
Tests Antivirus et son installation
Les antivirus généraux
Les antivirus généraux
Régler les antivirus au maximum
Les antivirus gratuits spécifiques
Les antivirus gratuits en ligne
Les antivirus en ligne
Analyse d'un fichier
Analyse du PC
Envoyer échantillon
Sandbox
Rescue CDs - CD de secours
Tableaux comparatifs
Ressources
Pour une Informatique sécurisée
Anti Virus Asia Researchers
Techniques McAfee Avert Labs
IM et Pirates


Mots clés :
virus, extensions cachées, double extensions,
extensions masquées, hidden extension
masquer les extensions des fichiers
 
 
Virus : Extensions cachées et doubles extensions :
C'est l'une des formes les plus triviales de camouflage des virus et d'incitation (ingénierie sociale) à l'ouverture (l'exécution) du virus

Vous devez faire attention au camouflage des extensions de fichiers et aux doubles extensions.

Les noms de fichiers, sous Windows, sont constitués de 2 parties séparées par un point : un nom et un suffixe (une extension du nom) de 1, 2, 3, 4 ou 5 caractères qui donne au système d'exploitation l'indication du programme à utiliser pour manipuler le fichier. C'est un héritage du vieux monde MS-Dos et nous devons faire avec.
  • Si vous avez un fichier Excel s'appelant dépenses, son nom complet est depenses.xls
  • Si vous avez un fichier Word s'appelant poèmes, son nom complet est poemes.doc
  • Si vous avez un bête fichier texte, fait avec Notepad par exemple, s'appelant recette, son nom complet est recette.txt
  • Si vous avez une photo compressée au format jpg et s'appelant mon_bebe, son nom complet est mon_bebe.jpg
    Etc. ...

Exemples :
  • recette.txt
  • mes comptes.xls
  • ma photo.png
  • virus.exe

Cette extension permet donc de savoir quelle est la nature du fichier. Dans les exemples ci-dessus :
  • .txt signifie que le fichier est de type "texte" et donc que l'application pour le manipuler est un traitement de textes ou le bloc-notes de Windows
  • .xls signifie que le fichier est de type "tableur Excel" et donc que l'application pour le manipuler est OpenOffice ou Excel.
  • .png signifie que le fichier est de type image PNG (Portable Network Graphic) et que l'application pour le manipuler est une application graphique comme The Gimp, Adobe Photoshop, PhotoImpact etc. ... ainsi que toutes les applications succeptibles de l'ouvrir pour l'afficher comme les navigateurs Internet etc. ...
  • .exe signifie que le fichier est "exécutable" - c'est un programme. Il existe énormément de suffixes "exécutables", directement ou indirectement (par interprétation) - voir la Liste des types de fichiers à risques.

Un nom de fichier peut contenir plusieurs "points" - seul le dernier sera suivi de l'extension, les autres sont simplement considérés commes des caractères faisant parti du nom du fichier
  • ceci.est.un.nom.de.fichier.valide.txt

Où est le problème ?
Une méthode courrante de diffusion des virus est l'utilisation de doubles extensions. Elle fonctionne malheureusement assez bien car, par défaut, Microsoft masque les extensions de fichiers dans Windows. Il est donc possible de "jouer" avec l'utilisateur, de le tromper :
  • ceci.est.un.nom.de.fichier.valide.txt.exe

Comme ces extensions existent depuis la nuit des temps (de l'informatique), par défaut, Microsoft Windows ne les affiche pas, sous prétexte que tout le monde les connait et que cela encombre l'affichage. Lorsque l'on voit apparaître un fichier trucmuche.txt on n'y prête plus attention. On a le reflexe de penser que c'est un fichier texte et on fait un double clic dessus pour voir ce qu'il y a dedans. Et crac... En réalité c'était un fichier trucmuche.txt.exe, donc une double extension et un programme exécutable qui, bien sûr, implante un virus. Trop tard...

Le virus VBS/Iloveyou joint un fichier nommé ILOVEYOU.TXT.VBS aux messages électroniques (e-mail). Dès lors, le fichier apparaît sous la forme ILOVEYOU.TXT. Alors que vous pensiez ouvrir un fichier TXT, vous exécutez en réalité un script .VBS (un script - un programme - écrit en Visual Basic).


Il faut voir et montrer les exensions de fichiers
Il faut IMPERATIVEMENT voir les extensions de fichiers.
Faire :
  • Démarrer > Explorateur de Windows > Outils > Options des dossiers > Affichage
  • Rechercher
    "Masquer les extensions des fichiers dont le type est connu" et décocher la case !

  • CETTE CASE NE DOIT PAS ETRE COCHEE !

Voir la liste des extensions dont il faut se méfier.

Ce que vous voyez avec les extensions de fichiers visibles :








Ce que vous ne voyez plus avec les extensions de fichiers cachées :







Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com






Historique des révisions de ce document :

29.10.2006 Up V4
 
   
Rédigé en écoutant :
Music