Un nouveau virus attaque les disques durs

Discussion dans 'Support informatique' créé par fax02, 20 Juillet 2008.

  1. fax02

    fax02 Stranger in the life Membre du personnel

    J'aime reçus:
    128
    Points:
    63
    [​IMG]

    Les virus destructeurs de secteurs de Boot seraient-ils de retour ? Il en est au moins, peut-être d'origine chinoise, qui se répand actuellement sur les PC sous Windows. Il modifie la table de partition et empêche le démarrage de l'ordinateur. Voici nos conseils pour en venir à bout. Mais il est coriace.

    Depuis quelques années les virus et autres infections détruisant le contenu du disque dur avaient disparu au profit de malwares spécialisés dans des tâches bien plus lucratives : envoyer des spams, espionner les données personnelles, comme les numéros de carte bancaires... Aussi la découverte récente d'une infection particulièrement destructrice est une vraie surprise.

    Les informations en notre possession n'indiquent pas comment ce malware peut arriver sur l'ordinateur. Il est simplement signalé que son origine est probablement chinoise.

    Les symptômes d'une infection irrécupérable


    Après l'infection, tout semble normal. La catastrophe se produit au prochain démarrage lorsqu'on voit apparaître un message du type (cela dépend du Bios de l'ordinateur) :

    Reboot and Select proper Boot device
    or Insert Boot Media in selected Boot device

    Arrivé à ce stade l'utilisateur de base panique en comprenant qu'il y a un gros problème sur le disque dur. L'utilisateur averti ou l'expert devinent immédiatement qu'il y a probablement une corruption du premier secteur du disque, le Main Boot Record ou MBR. Ils savent alors qu'il faut démarrer sur le lecteur de CD/DVD, dans lequel on aura mis le CD d'installation de Windows puis, au moment où il le propose, appuyer sur R pour accéder à la console de récupération. Il faut alors taper une commande : pour XP, fixmbr c: et, pour Vista, bootrec /FixMbr. Cette formule magique va restaurer un MBR sain.

    Curieusement, un message avertit alors que cette commande peut altérer la table de partition. Cette remarque est trompeuse car cette opération se borne à restaurer la partie du MBR commune à tous les ordinateurs sans toucher à la table de partition, a priori différente d'un ordinateur à l'autre, qui se trouve sur ce même secteur.

    Ceci étant fait notre expert redémarre l'ordinateur et s'apprête, avec toutefois une légère angoisse, à savourer son triomphe. Or, catastrophe, l'ordinateur affiche maintenant « Table de partition invalide » ! Inutile d'incriminer une mauvaise manipulation... ou Microsoft, le problème provient simplement du fait que le malware a aussi endommagé la table de partition.

    Si on lance à nouveau la console de récupération en utilisant la commande diskpart on constate qu'elle trouve bien une partition, mais de nature inconnue. La table de partition étant différente d'un ordinateur à l'autre cette situation est donc sans issue.

    Que faire ?

    En fait, il y a peut-être un remède, mais il est n'est pas à la portée de n'importe qui. Une analyse fine de la table de partition montre que le malware a écrit des valeurs incorrectes dans les octets indiquant si la partition est bootable ou non, quelle est la tête de lecture sollicitée au démarrage et quelle est la nature de la partition (principale ou étendue). Puis un certain nombre d'octets suivants ont subi une combinaison logique XOR avec la valeur 0x1A. En toute rigueur, si on réécrit tous ces octets avec leur valeur correcte, ce qui est possible avec certains programmes spécialisés, on devrait ressusciter le disque... s'il n'y a pas d'autres dégâts ailleurs. On peut donc espérer qu'un antivirus puisse faire cette correction. Malheureusement il est évident qu'il est très facile de diffuser autant de variantes qu'on veut de ce malware, par exemple en introduisant simplement un XOR avec une valeur différente.

    Alors que faire ?
    On peut espérer que les antivirus pourront détecter le malware avant qu'il commette ses méfaits sur le MBR. On peut aussi enclencher la protection du MBR dans le Bios. La solution ultime serait de sauvegarder le secteur de boot en entier pour pouvoir le restaurer en cas de problème sur la table de partition. Le logiciel EditHexa permet de le faire de deux manières. La première, rustique mais simple à mettre en œuvre consiste à imprimer le contenu du MBR et, en cas de problème, à ressortir cette feuille de papier de ses archives et corriger à la main les octets modifiés (ce qui ne fait pas un travail énorme pour la table de partition).

    L'autre méthode est automatique. Le problème est qu'il faut avoir sous la main un autre disque contenant au moins une version minimum de Windows, EditHexa et la copie du MBR. Ceci est faisable avec le programme PE Builder. Il existe quelques utilitaires sous Dos, donc plus faciles à mettre en œuvre avec une disquette ou une clé USB bootable. Tous les liens nécessaires sont regroupés au bas de la page du site de Jean-Claude Bellamy (voir les autres liens utiles à la fin de cet article).

    Je remercie Cyrrus (groupe antimalware du forum Sécurité & malwares), toujours à l'affût d'informations nouvelles, de m'avoir signalé cette nouvelle infection ainsi que le lien vers la page contenant les informations sur celle-ci, fournies par Kimberly.

    Source
     
  2. mejihad

    mejihad ... بوكرش و ودادي على

    J'aime reçus:
    230
    Points:
    63
    Pour moi la solution est simple, lâcher cette m***e de Windows pour ce qui est de plus en plus beau et sûr à savoir Linux.

    ceci dit J'utilise toujours Window (et non pas Windows, car le multithreading n'existe que dans les rêves des développeurs) pour des raisons professionnelles mais je suis en dual boot avec Ubuntu (une distrib de Linux) et c'est tout simplement magique [:Z]

    Moralité: window is dead, la révolution approche à bas Window et vive Ubuntu

    PS: Pour les curieux qui ont pas encore découvert Ubuntu voila le lien: byeWindow:p

    Sinon merci pour la solution et le sujet c'est top [:Z]
     
  3. fax02

    fax02 Stranger in the life Membre du personnel

    J'aime reçus:
    128
    Points:
    63


    rah machi f windows fach b9atte rah hta 3andi MAC walakine les logiciel a khoya bhal MSN o chi lakhor
     
  4. mejihad

    mejihad ... بوكرش و ودادي على

    J'aime reçus:
    230
    Points:
    63
    Je suis d'accord avec toi a sadi9i, mais avec Linux ou Mac au moins t'as pas les failles li kaynine f windows. ana li ma bghach itafhame liya pourquoi on paye pour avoir des pbs???

    Windows (ou mieux :Microsoft) et ses historiques Licences ( t'as qu'à les lire pour voir l'arnaque), ne peut (veut) pas faire face à ses virus, et cela profite aux anti-virus...

    Bref, c'est mon avis perso et j'ai rien contre windows (enfin un peu)
     
  5. fax02

    fax02 Stranger in the life Membre du personnel

    J'aime reçus:
    128
    Points:
    63
    lala 3anek l ha99 nite les syteme linux et MAC rahom fabour en telechargement et meme les logiciel dyalhom gratos dakchi zaz a khoya rien a dire
     
  6. redda84

    redda84 Visiteur

    J'aime reçus:
    0
    Points:
    0
    se lamenter des virus?si on évite des sites qui sont méchants pour ne pas dire interdits on sera à l'abri des ce symdrome ou au moins notre pc sera attaqué par de faibles catégories de virus
     
  7. isitien

    isitien Bannis

    J'aime reçus:
    28
    Points:
    0
    et comment les savoir?
     

Partager cette page