Le retour de l'infection MBR

Le
DePassage
On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.

http://www.symantec.com/business/security_response/writeup.jsp?docid 08-010718-3448-99


Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.

Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent accéder
en ligne à leur compte de banque.

Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système
d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les
utilisateurs doivent entrer la commande «fixmbr» dans le Windows
Recovery Console, un outil accessible lors du démarrage du PC.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Roland Garcia
Le #1697501
On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.

http://www.symantec.com/business/security_response/writeup.jsp?docid 08-010718-3448-99


Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5

Seul moyen de se sortir d'une telle infection, consulter au plus vite un
Maraboot :)


--
Roland Garcia

DePassage
Le #1697500
Roland Garcia wrote:

Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5


Je vois que ca ne t'a pas échappé :-)

En plus ca empiète sur la table des partitions (les 66 derniers octets
si je me souviens bien)

Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)

Peut etre une solution comme le BootMgr de Vista et Grub quant on veut
installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ?
(un chainage)

J'ai trouvé d'autres détails (surement plus explicites) il y aura
surement réponse quant à la taille annoncée par symantec (qui je pense a
du inclure la taille totale avec la partie qui figure dans une portion
du disque.

http://blog.trendmicro.com/mbr-rootkit-a-web-threat/

http://www2.gmer.net/mbr/

M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à
faire la meme chose pour les craks avec intro, le boot Amiga/atari etc
en allant sur les autres secteurs permettant l'amorcage grace à un
bootLoader

NM
Le #1697499
hello DePassage you wrote

On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au
goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi
sur les PC via une installation sauvage (à la viste d'un site web
piégé) et s'installe sur le Master Boot Record du disque dur.

http://www.symantec.com/business/security_response/writeup.jsp?docid 08-010718-3448-99


Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.

Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent
accéder en ligne à leur compte de banque.

Selon Symantec, le rootkit ne peut pas être supprimé lorsque le
système d'exploitation est ouvert. Pour se débarrasser du cheval de
Troie, les utilisateurs doivent entrer la commande «fixmbr» dans le
Windows Recovery Console, un outil accessible lors du démarrage du PC.


Ho pardon, je n'avais pas encore ton post d'affiché :-(

Mea culpa

--

bob

Frederic Bonroy
Le #1697489

Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5


Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/

Donc rien d'étonnant en fin de compte.

---------------------------

The installer of the rootkit writes the content of malicious kernel
driver (244 736 bytes) to the last sectors of the disk (offset: 2 142
830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.

The content of hidden sectors:
# 0 - MBR rootkit loader
# 61 - kernel part of loader
# 62 - copy of original MBR

---------------------------

DePassage
Le #1697485
Frederic Bonroy wrote:

Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5


Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/

Donc rien d'étonnant en fin de compte.


Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)


Roland Garcia
Le #1697484
Frederic Bonroy wrote:

Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5


Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/

Donc rien d'étonnant en fin de compte.


Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)


Exactement :)


--
Roland Garcia



Publicité
Poster une réponse
Anonyme