Attention : un nouveau virus chinois destructeur!!

Derniers Posts

Ajouter une réponse

MetalAngel

message posté le : Mercredi 02 Juillet 2008 à 07:23:55

Premier cercle
Inscrit le : 22-03-2005
Messages: 7007

Un nouveau virus attaque les disques durs

Par Jean-Pierre Louvet - Futura-Sciences

Les virus destructeurs de secteurs de Boot seraient-ils de retour ? Il en est au moins, peut-être d'origine chinoise, qui se répand actuellement sur les PC sous Windows. Il modifie la table de partition et empêche le démarrage de l'ordinateur. Voici nos conseils pour en venir à bout. Mais il est coriace.

Depuis quelques années les virus et autres infections détruisant le contenu du disque dur avaient disparu au profit de malwares spécialisés dans des tâches bien plus lucratives : envoyer des spams,
espionner les données personnelles, comme les numéros de carte
bancaires... Aussi la découverte récente d'une infection
particulièrement destructrice est une vraie surprise.

Les informations en notre possession n'indiquent
pas comment ce malware peut arriver sur l'ordinateur. Il est simplement
signalé que son origine est probablement chinoise.

Les symptômes d'une infection irrécupérable

Après l'infection, tout semble normal. La
catastrophe se produit au prochain démarrage lorsqu'on voit apparaître
un message du type (cela dépend du Bios de l'ordinateur) :

Reboot and Select proper Boot device
or Insert Boot Media in selected Boot device

Arrivé à ce stade l'utilisateur de base panique en
comprenant qu'il y a un gros problème sur le disque dur. L'utilisateur
averti ou l'expert devinent immédiatement qu'il y a probablement une
corruption du premier secteur du disque, le Main Boot Record ou MBR. Ils savent alors qu'il faut démarrer sur le lecteur de CD/DVD, dans lequel on aura mis le CD d'installation de Windows puis, au moment où il le propose, appuyer sur R pour accéder à la console de récupération. Il faut alors taper une commande : pour XP, fixmbr c: et, pour Vista, bootrec /FixMbr. Cette formule magique va restaurer un MBR sain.

Curieusement, un message avertit alors que cette
commande peut altérer la table de partition. Cette remarque est
trompeuse car cette opération se borne à restaurer la partie du MBR
commune à tous les ordinateurs sans toucher à la table de partition, a priori différente d'un ordinateur à l'autre, qui se trouve sur ce même secteur.

Ceci étant fait notre expert redémarre l'ordinateur
et s'apprête, avec toutefois une légère angoisse, à savourer son
triomphe. Or, catastrophe, l'ordinateur affiche maintenant « Table de partition invalide » !
Inutile d'incriminer une mauvaise manipulation... ou Microsoft, le
problème provient simplement du fait que le malware a aussi endommagé
la table de partition.

Si on lance à nouveau la console de récupération en utilisant la commande diskpart
on constate qu'elle trouve bien une partition, mais de nature inconnue.
La table de partition étant différente d'un ordinateur à l'autre cette
situation est donc sans issue.

Que faire ?

En fait, il y a peut-être un remède, mais il est
n'est pas à la portée de n'importe qui. Une analyse fine de la table de
partition montre que le malware a écrit des valeurs incorrectes dans
les octets indiquant si la partition est bootable ou non, quelle est la
tête de lecture sollicitée au démarrage et quelle est la nature de la
partition (principale ou étendue). Puis un certain nombre d'octets suivants ont subi une combinaison logique XOR
avec la valeur 0x1A. En toute rigueur, si on réécrit tous ces octets
avec leur valeur correcte, ce qui est possible avec certains programmes
spécialisés, on devrait ressusciter le disque... s'il n'y a pas
d'autres dégâts ailleurs. On peut donc espérer qu'un antivirus puisse
faire cette correction. Malheureusement il est évident qu'il est très
facile de diffuser autant de variantes qu'on veut de ce malware, par
exemple en introduisant simplement un XOR avec une valeur différente.

Alors que faire ? On peut espérer que les antivirus
pourront détecter le malware avant qu'il commette ses méfaits sur le
MBR. On peut aussi enclencher la protection du MBR dans le Bios. La
solution ultime serait de sauvegarder le secteur de boot en entier pour
pouvoir le restaurer en cas de problème sur la table de partition. Le logiciel
EditHexa permet de le faire de deux manières. La première, rustique
mais simple à mettre en œuvre consiste à imprimer le contenu du MBR et,
en cas de problème, à ressortir cette feuille de papier de ses archives
et corriger à la main les octets modifiés (ce qui ne fait pas un
travail énorme pour la table de partition).

L'autre méthode est automatique. Le problème est
qu'il faut avoir sous la main un autre disque contenant au moins une
version minimum de Windows, EditHexa et la copie du MBR. Ceci est
faisable avec le programme PE Builder. Il existe quelques utilitaires
sous Dos, donc plus faciles à mettre en œuvre avec une disquette ou une clé USB bootable. Tous les liens nécessaires sont regroupés au bas de la page du site de Jean-Claude Bellamy (voir les autres liens utiles à la fin de cet article).

Je remercie Cyrrus (groupe antimalware du forum
Sécurité & malwares), toujours à l'affût d'informations nouvelles,
de m'avoir signalé cette nouvelle infection ainsi que le lien vers la
page contenant les informations sur celle-ci, fournies par Kimberly.

Nota : l'utilisation éventuelle des programmes indiqués est aux risques et périls des utilisateurs.

1 MBR.
source : http://www.futura-sciences.com

"Diverses sont les lignes de la vie comme sont les chemins, les contours des montagnes ; ce que nous sommes, Dieu l'achèvera là-haut dans la paix, l'harmonie et l'éternelle grâce."

Friedrich Hölderlin

"Aimer, ce n'est pas se regarder l'un l'autre, c'est regarder ensemble dans la même direction."

Antoine de Saint- Exupéry

"L'harmonie la plus douce est le son de la voix de celle que l'on aime."

Jean de la Bruyère

morgothduverdon

message posté le : Jeudi 03 Juillet 2008 à 15:46:34

Quatrième cercle
Inscrit le : 30-07-2006
Messages: 10332

Ben dis donc...

Merci pour cette mise en garde.

Mode Lemmy activé.

Mesdemoiselles, je suis sur le marché, je suis libre. Si vous l'êtes aussi, vous savez où me trouver.

Vis tes rêves, ne rêves pas ta vie.

Christoune

message posté le : Jeudi 03 Juillet 2008 à 15:52:36

Cinquième cercle
Inscrit le : 06-05-2008
Messages: 1057

tin j'y comprends rien et ca me fout les boules :/

Christoune le grand...con, boulet, malin, bourin, metaleux, pervers, intéligent, lézard, poilu, romantique, sensible, parano, psy et plein d'autres trucs...

KingMetal

message posté le : Jeudi 03 Juillet 2008 à 16:30:18

Cinquième cercle
Inscrit le : 08-08-2006
Messages: 2523

Encore des estis de virus.Quand ça va infecté l`ordinateur d`un ministre ou d`un président quelconque,ça va virer dans la marde comme d`habitude.Merci pour la mise en garde,j`en prends note.

Québécois et fier de l'être.Patriotisme et indépendance Québécois.Protégeons notre langue avant qu`il ne soit trop tard.

http://www.myspace.com/marcthekillerfire target='_blank' http://www.myspace.com/marcthekillerfire/a target='_blank'> http://www.myspace.com/marcthekillerfire target='_blank'> http://www.myspace.com/marcthekillerfire

MetalmouN

message posté le : Jeudi 03 Juillet 2008 à 16:43:33

Suspendu
Troisième cercle
Inscrit le : 15-01-2008
Messages: 619

Merci MetalAngel pour l'avant garde

I Should Have Never Let You In, Your Soul Is Full Of, Always Trying To Do Me Good, Digging Up The Corpses Again.

MetalAngel

message posté le : Jeudi 03 Juillet 2008 à 17:19:40

Premier cercle
Inscrit le : 22-03-2005
Messages: 7007

De rien, les amis.

C'est un plaisir de faire partager de telles informations pour vous éviter le pire.

ArchEvil

message posté le : Jeudi 03 Juillet 2008 à 17:23:10

Quatrième cercle
Inscrit le : 21-04-2007
Messages: 4135

Merci apple

Sur terre, la relativité est le seul concept absolu.

NDNS : Profitez de nos toutes dernières nouveautés !

En exclusivité :
- L'agent détartrant pour pédales de gauches.
- Le piège à rats eugénistes.