Une nouvelle variante de virus Locky (cryptolocker) est apparue ces derniers jours. Cette nouvelle version s’exécute via du code JavaScript caché dans une image SVG. Le format SVG (Scalable Vector Graphics) est un format de données conçu pour décrire des ensembles de graphiques vectoriels, et est basé sur du XML (donc du texte).
Il est donc possible d’inclure du script JavaScript dans une image. Script qui peut, dans certains cas, s’exécuter.
Sur certains navigateurs (exemple chrome) / client de messagerie, l’affichage de l’image suffit à lancer le téléchargement, puis l’exécution du virus sur la machine.
Il y a quelques jours, un test grandeur nature a eu lieu sur les réseaux sociaux.
L’étape d’après sera probablement la messagerie et les robots de masse messagerie comme pour les cryptolockers actuels.
Endiguard.Mel, la solution antivirus/antispam d’Icodia, intègre la détection d’éventuels virus via SVG en pièce jointe ou dans un zip.