On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.
Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent accéder
en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système
d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les
utilisateurs doivent entrer la commande «fixmbr» dans le Windows
Recovery Console, un outil accessible lors du démarrage du PC.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Roland Garcia
On pensait la technique reléguée au musée des horreurs, mais en 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd'hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d'un site web piégé) et s'installe sur le Master Boot Record du disque dur.
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Seul moyen de se sortir d'une telle infection, consulter au plus vite un Maraboot :)
-- Roland Garcia
On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Seul moyen de se sortir d'une telle infection, consulter au plus vite un
Maraboot :)
On pensait la technique reléguée au musée des horreurs, mais en 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd'hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d'un site web piégé) et s'installe sur le Master Boot Record du disque dur.
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Seul moyen de se sortir d'une telle infection, consulter au plus vite un Maraboot :)
-- Roland Garcia
DePassage
Roland Garcia wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Je vois que ca ne t'a pas échappé :-)
En plus ca empiète sur la table des partitions (les 66 derniers octets si je me souviens bien)
Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)
Peut etre une solution comme le BootMgr de Vista et Grub quant on veut installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ? (un chainage)
J'ai trouvé d'autres détails (surement plus explicites) il y aura surement réponse quant à la taille annoncée par symantec (qui je pense a du inclure la taille totale avec la partie qui figure dans une portion du disque.
M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à faire la meme chose pour les craks avec intro, le boot Amiga/atari etc en allant sur les autres secteurs permettant l'amorcage grace à un bootLoader
Roland Garcia wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Je vois que ca ne t'a pas échappé :-)
En plus ca empiète sur la table des partitions (les 66 derniers octets
si je me souviens bien)
Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)
Peut etre une solution comme le BootMgr de Vista et Grub quant on veut
installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ?
(un chainage)
J'ai trouvé d'autres détails (surement plus explicites) il y aura
surement réponse quant à la taille annoncée par symantec (qui je pense a
du inclure la taille totale avec la partie qui figure dans une portion
du disque.
M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à
faire la meme chose pour les craks avec intro, le boot Amiga/atari etc
en allant sur les autres secteurs permettant l'amorcage grace à un
bootLoader
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Je vois que ca ne t'a pas échappé :-)
En plus ca empiète sur la table des partitions (les 66 derniers octets si je me souviens bien)
Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)
Peut etre une solution comme le BootMgr de Vista et Grub quant on veut installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ? (un chainage)
J'ai trouvé d'autres détails (surement plus explicites) il y aura surement réponse quant à la taille annoncée par symantec (qui je pense a du inclure la taille totale avec la partie qui figure dans une portion du disque.
M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à faire la meme chose pour les craks avec intro, le boot Amiga/atari etc en allant sur les autres secteurs permettant l'amorcage grace à un bootLoader
NM
hello DePassage you wrote
On pensait la technique reléguée au musée des horreurs, mais en 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd'hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d'un site web piégé) et s'installe sur le Master Boot Record du disque dur.
Dans les premiers temps de l'infection, le trojan n'était pas guère détecté : les outils de sécurité actuels ont depuis longtemps cessé de se préoccuper du MBR. Seules les tentatives d'installation via un site web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et installe secrètement d'autres logiciels malveillants, qui servent notamment à voler les mots de passe des internautes qui désirent accéder en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les utilisateurs doivent entrer la commande «fixmbr» dans le Windows Recovery Console, un outil accessible lors du démarrage du PC.
Ho pardon, je n'avais pas encore ton post d'affiché :-(
Mea culpa
--
bob
hello DePassage you wrote
On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au
goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi
sur les PC via une installation sauvage (à la viste d'un site web
piégé) et s'installe sur le Master Boot Record du disque dur.
Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent
accéder en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le
système d'exploitation est ouvert. Pour se débarrasser du cheval de
Troie, les utilisateurs doivent entrer la commande «fixmbr» dans le
Windows Recovery Console, un outil accessible lors du démarrage du PC.
Ho pardon, je n'avais pas encore ton post d'affiché :-(
On pensait la technique reléguée au musée des horreurs, mais en 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd'hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d'un site web piégé) et s'installe sur le Master Boot Record du disque dur.
Dans les premiers temps de l'infection, le trojan n'était pas guère détecté : les outils de sécurité actuels ont depuis longtemps cessé de se préoccuper du MBR. Seules les tentatives d'installation via un site web piégé étaient susceptibles de l'être.
Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et installe secrètement d'autres logiciels malveillants, qui servent notamment à voler les mots de passe des internautes qui désirent accéder en ligne à leur compte de banque.
Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les utilisateurs doivent entrer la commande «fixmbr» dans le Windows Recovery Console, un outil accessible lors du démarrage du PC.
Ho pardon, je n'avais pas encore ton post d'affiché :-(
Mea culpa
--
bob
Frederic Bonroy
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
---------------------------
The installer of the rootkit writes the content of malicious kernel driver (244 736 bytes) to the last sectors of the disk (offset: 2 142 830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.
The content of hidden sectors: # 0 - MBR rootkit loader # 61 - kernel part of loader # 62 - copy of original MBR
---------------------------
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
---------------------------
The installer of the rootkit writes the content of malicious kernel
driver (244 736 bytes) to the last sectors of the disk (offset: 2 142
830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.
The content of hidden sectors:
# 0 - MBR rootkit loader
# 61 - kernel part of loader
# 62 - copy of original MBR
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
---------------------------
The installer of the rootkit writes the content of malicious kernel driver (244 736 bytes) to the last sectors of the disk (offset: 2 142 830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.
The content of hidden sectors: # 0 - MBR rootkit loader # 61 - kernel part of loader # 62 - copy of original MBR
---------------------------
DePassage
Frederic Bonroy wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder. Méthode qui date d'il y a heu.. Aie ! 15 ans :-)
Frederic Bonroy wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder. Méthode qui date d'il y a heu.. Aie ! 15 ans :-)
Roland Garcia
Frederic Bonroy wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder. Méthode qui date d'il y a heu.. Aie ! 15 ans :-)
Exactement :)
-- Roland Garcia
Frederic Bonroy wrote:
Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)
Réussir à installer un cheval de Troie dans le MBR mérite au moins la médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR n'en fait pas 0.5
Le truc classique dans ce cas, c'est de placer du code auxiliaire dans le MBR, et de placer le code malveillant proprement dit dans d'autres secteurs du disque. C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici: http://www2.gmer.net/mbr/
Donc rien d'étonnant en fin de compte.
Comme du temps de l'Amiga. Meme façon de procéder. Méthode qui date d'il y a heu.. Aie ! 15 ans :-)