Le retour de l'infection MBR
Le
DePassage
On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.
http://www.symantec.com/business/se....jsp?docid 08-010718-3448-99
Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent accéder
en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système
d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les
utilisateurs doivent entrer la commande «fixmbr» dans le Windows
Recovery Console, un outil accessible lors du démarrage du PC.
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.
http://www.symantec.com/business/se....jsp?docid 08-010718-3448-99
Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent accéder
en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système
d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les
utilisateurs doivent entrer la commande «fixmbr» dans le Windows
Recovery Console, un outil accessible lors du démarrage du PC.
Poser une question
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Seul moyen de se sortir d'une telle infection, consulter au plus vite un
Maraboot :)
--
Roland Garcia
Je vois que ca ne t'a pas échappé :-)
En plus ca empiète sur la table des partitions (les 66 derniers octets
si je me souviens bien)
Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)
Peut etre une solution comme le BootMgr de Vista et Grub quant on veut
installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ?
(un chainage)
J'ai trouvé d'autres détails (surement plus explicites) il y aura
surement réponse quant à la taille annoncée par symantec (qui je pense a
du inclure la taille totale avec la partie qui figure dans une portion
du disque.
http://blog.trendmicro.com/mbr-root...eb-threat/
http://www2.gmer.net/mbr/
M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à
faire la meme chose pour les craks avec intro, le boot Amiga/atari etc
en allant sur les autres secteurs permettant l'amorcage grace à un
bootLoader
Ho pardon, je n'avais pas encore ton post d'affiché :-(
Mea culpa
--
bob
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
---------------------------
The installer of the rootkit writes the content of malicious kernel
driver (244 736 bytes) to the last sectors of the disk (offset: 2 142
830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.
The content of hidden sectors:
# 0 - MBR rootkit loader
# 61 - kernel part of loader
# 62 - copy of original MBR
---------------------------
Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)