Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Le retour du MBR infecté

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Le retour du MBR infecté

Séquence nostalgie pour les plus de trente ans : un parasite en circulation s’attaquerait aux Master Boot Record (MBR) des disques durs. La méthode, très populaire dans les années 80 et 90, semblait tombée en désuétude en dépit de son efficacité radicale. Elle est désormais remise au goût du jour par un cheval de Troie.


S’attaquer au secteur d’amorce principal du disque dur était une pratique courante, et terriblement efficace, il y a encore dix ans. Mais l’apparition de voies d’infection nettement plus faciles à exploiter, tels que les documents Word piégés ou les vers « mass mailer » en Visual Basic, ont relégué la technique au musée.

Pas pour tout le monde, cependant. Si dès 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd’hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d’un site web piégé) et s’installe sur le Master Boot Record du disque dur.

L’avantage d’être sur le MBR, comme le savaient bien les anciens, est que le code malveillant est exécuté largement avant n’importe quel système d’exploitation, et a fortiori avant n’importe quel antivirus. Il peut donc librement prendre le contrôle du système et demeurer caché. C’est une caractéristique essentielle pour un Trojan ou rootkit, et ce qui fait tout l’intérêt de la méthode aujourd’hui encore.

Mebroot se répand actuellement dans la nature et aurait infecté au moins 5000 PC selon une analyse menée par la société VeriSign, dont la branche iDefense est à l’origine de l’alerte aux côtés de Symantec. Dans les premiers temps de l’infection, le trojan n’était pas guère détecté : les outils de sécurité actuels ont depuis longtemps cessé de se préoccuper du MBR. Seules les tentatives d’installation via un site web piégé étaient susceptibles de l’être. Cela ne pourra que s’améliorer désormais que l’attention des médias se porte sur ce code d’un autre âge.

Ce Cheval de Troie vise Windows XP, Vista, Server 2003 et 2000.


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.