Bonjour à tous,
 
Ce matin en me connectant sur Steam j'ai reçu un message d'un contact dans ma liste d'ami: "hahaha, lol http://look-img.***/screenshot_05_12.png/"
 
A ma grande surprise en cliquant sur le lien (ne me doutant de rien vu que c'est une personne de confiance avec qui je parle régulièrement) on me propose de télécharger un fichier .scr ?
 
Par curiosité je décide d'uploader le fichier sur le site : https://www.virustotal.com/fr/file/ [...] /analysis/
 
Avec ce type de faille on peut apparemment exécuter du code à distance ( microsoft n'a d'ailleurs toujours pas bouché la faille?).  
Pour l'envoi du message à ces contacts , je sais pas si c'est manuel ou automatique mais en tout cas je vous conseille de faire très attention si un contact même de confiance vous envoie quelque chose à télécharger.
 
 

en même temps, les fichier scr ca fait une paye que c'est utilisé pour des virus et ton antivirus aurait du te bloquer le téléchargement. ou au moins le lancement

 
J'ai bit defender internet security 2015 et il ne détecte rien du tout ! D'ailleurs j'ai été surpris par le peu d'antivirus qu'il le détecte sur virus total !
 
Kaspersky, Gdata, Mcafee, Fsecure pour ne citer qu'eux n'y voient que du feu !! Le fichier est peut être trop récent et pas encore référencé ?

Virus total fonctionne avec les bases installées des AV (signatures)

Les antivirus installés sur nos PC ont d'autres fonctionnalités pour détecter une menace (détection temps réel avec du comportemental par ex etc)

Ensuite il faut savoir que ces infections sont de type : Dropper et Payload  (je simplifie car cela peut etre plus compliqué que cela et je n'entre pas dans les détails pour dire qui est quoi et ce qu'il fait. Je pense que via google il y a les réponses)

Les fichiers avec une extension .scr sont en général des Dropper (ca fait des années que c'est utilisé comme l'indique justement Z_Cool) , et ces dropper peuvent être modifiés à la chaîne automatiquement et comportent donc une signature aléatoire (je me rappelle de l'étude d'un où il y avait 1500 variantes à l'heure

Donc un AV qui est basé UNIQUEMENT sur des signatures ne verra RIEN (sauf si elle ressemble à quelque chose de connue et l'AV dire qu'il a trouvé un "Trojan-Downloader" )
AUCUN labo d'un AV au monde n'est capable de suivre. C'est pour cela que les AV utilisent d'autres méthodes de détection

Mais pour que le Dropper s'installe, à la base il y souvent soit un fichier téléchargé (les pièges du P2P), ou le plus courant une redirection ou un lien vers un site WEB piégé qui redirige vers des exploits (l'exploit peut etre lié à une faille d'un programme connu, comme IE, ou Flash Player, ou Adobe reader etc (pour les plus connus)

Ensuite derrière la mise en marche de l'infection on ne sait pas toujours ce qui se cache. Ca peut aller de la redirection et écoute d'un port particulier, à un rootkit et cryptage de tous les fichiers du disk avec une clé aléatoire et spécifique pour chaque fichier (comme le fameux virus gendarmerie)

Donc jopopodu13, tu as eu raison de te méfier, et de soumettre quand meme le fichier, car on ne s'amuse pas à tester un lien "juste pour voir si l'antivirus le détecte", surtout qu'en général il laisse passer le dropper - voir le pb des signature plus haut - ou le bloquera ensuite lorsqu'il s'activera ou ne fera rien car le site distant ne fonctionne plus, ou  ne se réveillera que pour le payload. Si il se réveille...

Ensuite nombre d'infections ont souvent une vie très courte, car rapidement détectées,  et la redirection sur le site où se trouve la véritable infection ne fonctionnera plus.
On peut se retrouver avec un dropper inactif, car le site distant n'existe plus

Bon j'ai schématisé mais c'est juste pour donner une idée du processus

Ensuite le fait de recevoir des messages avec PJ meme de quelqu'un qui figure dans son carnet d'adresse doit toujours être considéré comme suspect. La personne distante peut potentiellement être infectée et le virus pioche dans le carnet d'adresse pour se dupliquer