Ils utilisent WinRAR pour exécuter des virus sur votre PC sans être détectés par l’antivirus

WinRAR est le compresseur de fichiers le plus connu que nous puissions trouver pour n’importe quel système informatique. Ce programme est le créateur du célèbre format RAR, et de son éternelle version d’essai de 40 jours qui a suscité tant de commentaires et de « mèmes » à travers l’histoire. Un archiveur, comme WinRAR, est indispensable pour quiconque utilise un ordinateur et, surtout, télécharge des fichiers depuis Internet.

Les antivirus sont généralement préparés pour analyser les fichiers compressés. Par exemple, lorsque nous téléchargeons un fichier sur Internet, le programme de sécurité recherche à l’intérieur toute menace. La même chose se produit lorsque nous l’exécutons et, bien sûr, lorsque nous essayons de le décompresser. Cependant, ils ont trouvé une technique avec laquelle les antivirus ne sont pas capables d’analyser les fichiers avant de les copier et de les exécuter sur le PC : utiliser fichiers auto-extractibles ou SFX.

Voici comment fonctionnent les menaces WinRAR SFX

Les archives SFX sont un type d’archive qui peut être créé par WinRAR ou d’autres programmes tels que 7-zip, qui sont conçus pour être auto-extractibles, c’est-à-dire qu’ils peuvent être décompressés sans utiliser de compresseur de fichiers, simplement en double-cliquant. Ce format est conçu, avant tout, pour partager des fichiers compressés avec des utilisateurs qui n’ont pas installé le programme.

Un fichier auto-extractible a les mêmes propriétés qu’un fichier compressé normal, c’est-à-dire que nous pouvons réduire sa taille, appliquer certains paramètres et même mot de passe protéger les données pour empêcher les utilisateurs non autorisés (et antivirus) de lire son contenu.

Profitant de cette technique, un groupe de pirates a profité de l’outil « utilman.exe », un outil d’accessibilité Windows qui s’exécute avant que vous ne vous connectiez à votre PC, pour exécuter un fichier SFX protégé par mot de passe, afin qu’il puisse exécuter des commandes sur l’ordinateur concerné.

L’archive auto-extractible ne cachait à l’origine qu’un fichier texte vide, mais ce n’était qu’un leurre. En fait, les chercheurs en sécurité ont découvert que cette technique était utilisée pour exécuter des commandes CMD et PowerShell simplement en ouvrant ce fichier SFX. L’exécution du fichier a ouvert une porte dérobée sur le PC, qui a été utilisée pour se connecter à distance à l’ordinateur affecté.

attaque sfx

Comment se protéger

Il est difficile pour les antivirus de détecter ce type de menace. Et les entreprises de sécurité ne se concentrent certainement pas maintenant sur l’amélioration de leurs programmes pour détecter une menace typique d’il y a 10 ou 15 ans. Par conséquent, la sécurité de nos systèmes dépend directement de nous.

Pour éviter de tomber dans les griffes des pirates, il faut faire très attention aux types de fichiers que nous exécutons. Nous devons également être prudents avec les fichiers SFX que nous téléchargeons sur Internet et exécutons, et utiliser des outils spéciaux pour rechercher d’éventuelles commandes et scripts cachés dans ces fichiers.