J’ai décontaminé un site web infecté qui contenait plusieurs dizaines de fichiers vérolés par des malwares de redirection. L’hébergeur OVH avait bloqué l’accès au site et placé en état HACKE jusqu’à la correction du problème. J’ai conservé ces fichiers pour les examiner avec un éditeur de texte. Ils intégraient de nombreux liens orientant des requêtes vers des sites extérieurs. Ce type de virus est parfaitement connu et détectable par un bon antivirus à jour. Par curiosité, j’ai fait analyser l’un de ces fichiers sur le site Virus Total . L’opération est simple. Il suffit d’envoyer le fichier vérolé, situé sur votre ordinateur et d’attendre le résultat de l’examen par une impressionnante batterie de 55 logiciels anti-virus, parmi lesquels des noms très connus comme Avast , Avira, Kasperky, Panda, etc. Le résultat est édifiant: seuls 10 de ces outils détectent le fichier infecté ! Un piètre score. Bien entendu, il ne s’agit que d’un test sur un seul fichier et la version de l’antivirus ne correspond pas nécessairement à la version payante quand le produit est vendu mais ce résultat est loin d’être rassurant. Parmi les outils qui ont échoué, figurent des pointures comme Kaspersky ou des éditeurs comme Avira, F-Prot, panda, McAfee, GData, F-Secure.
Le fichier infecté:
Il contenait au début du vrai code PHP, une expression régulière de la forme: <?php
preg_replace(« /.*/e », »\x65\x76\x61\x6C\x28 ……. et contenant des redirections. Bien entendu, pas question de mettre ce fichier en ligne sur ce blog au simple motif que l’hébergeur bloquerait aussitôt le site. Noter que WordPress refuse l’upload du fichier pour cause de sécurité, ce qui est concevable puisque près de 100 millions de blogs fonctionnent sous WordPress.
Soyez le premier à commenter