Bienvenue cher visiteur
Veuillez vous inscrire ou vous connecter

  Nom d’utilisateur:   Mot de passe:   
Index  FAQ  Rechercher  Membres  Groupes  Profil  S’enregistrer
 Se connecter pour vérifier ses messages privés
  Un nouveau virus attaque les disques durs
Sauter vers:    
  Poster un nouveau sujet   Répondre au sujet medmatiq Index du Forum » Informatique » Sur le web     
Auteur Message
Bel
Fidèle
Fidèle

Hors ligne

Inscrit le: 20 Oct 2007
Messages: 2 116
Localisation: casa
Féminin Gémeaux (21mai-20juin) 虎 Tigre
Point(s): 410
Moyenne de points: 0,19
MessagePosté le: Lun 11 Aoû - 10:05 (2008) Répondre en citant

Un nouveau virus attaque les disques durs
Par Jean-Pierre Louvet - Futura-Sciences

Les virus destructeurs de secteurs de Boot seraient-ils de retour ? Il en est au moins, peut-être d'origine chinoise, qui se répand actuellement sur les PC sous Windows. Il modifie la table de partition et empêche le démarrage de l'ordinateur. Voici nos conseils pour en venir à bout. Mais il est coriace.
Depuis quelques années les virus et autres infections détruisant le contenu du disque dur avaient disparu au profit de malwares spécialisés dans des tâches bien plus lucratives : envoyer des spams, espionner les données personnelles, comme les numéros de carte bancaires... Aussi la découverte récente d'une infection particulièrement destructrice est une vraie surprise.
Les informations en notre possession n'indiquent pas comment ce malware peut arriver sur l'ordinateur. Il est simplement signalé que son origine est probablement chinoise.
Les symptômes d'une infection irrécupérable
Après l'infection, tout semble normal. La catastrophe se produit au prochain démarrage lorsqu'on voit apparaître un message du type (cela dépend du Bios de l'ordinateur) :
Reboot and Select proper Boot device
or Insert Boot Media in selected Boot device
Arrivé à ce stade l'utilisateur de base panique en comprenant qu'il y a un gros problème sur le disque dur. L'utilisateur averti ou l'expert devinent immédiatement qu'il y a probablement une corruption du premier secteur du disque, le Main Boot Record ou MBR. Ils savent alors qu'il faut démarrer sur le lecteur de CD/DVD, dans lequel on aura mis le CD d'installation de Windows puis, au moment où il le propose, appuyer sur R pour accéder à la console de récupération. Il faut alors taper une commande : pour XP, fixmbr c: et, pour Vista, bootrec /FixMbr. Cette formule magique va restaurer un MBR sain.
Curieusement, un message avertit alors que cette commande peut altérer la table de partition. Cette remarque est trompeuse car cette opération se borne à restaurer la partie du MBR commune à tous les ordinateurs sans toucher à la table de partition, a priori différente d'un ordinateur à l'autre, qui se trouve sur ce même secteur.
Ceci étant fait notre expert redémarre l'ordinateur et s'apprête, avec toutefois une légère angoisse, à savourer son triomphe. Or, catastrophe, l'ordinateur affiche maintenant « Table de partition invalide » ! Inutile d'incriminer une mauvaise manipulation... ou Microsoft, le problème provient simplement du fait que le malware a aussi endommagé la table de partition.
Si on lance à nouveau la console de récupération en utilisant la commande diskpart on constate qu'elle trouve bien une partition, mais de nature inconnue. La table de partition étant différente d'un ordinateur à l'autre cette situation est donc sans issue.
Que faire ?
En fait, il y a peut-être un remède, mais il est n'est pas à la portée de n'importe qui. Une analyse fine de la table de partition montre que le malware a écrit des valeurs incorrectes dans les octets indiquant si la partition est bootable ou non, quelle est la tête de lecture sollicitée au démarrage et quelle est la nature de la partition (principale ou étendue). Puis un certain nombre d'octets suivants ont subi une combinaison logique XOR avec la valeur 0x1A. En toute rigueur, si on réécrit tous ces octets avec leur valeur correcte, ce qui est possible avec certains programmes spécialisés, on devrait ressusciter le disque... s'il n'y a pas d'autres dégâts ailleurs. On peut donc espérer qu'un antivirus puisse faire cette correction. Malheureusement il est évident qu'il est très facile de diffuser autant de variantes qu'on veut de ce malware, par exemple en introduisant simplement un XOR avec une valeur différente.
Alors que faire ? On peut espérer que les antivirus pourront détecter le malware avant qu'il commette ses méfaits sur le MBR. On peut aussi enclencher la protection du MBR dans le Bios. La solution ultime serait de sauvegarder le secteur de boot en entier pour pouvoir le restaurer en cas de problème sur la table de partition. Le logiciel EditHexa permet de le faire de deux manières. La première, rustique mais simple à mettre en œuvre consiste à imprimer le contenu du MBR et, en cas de problème, à ressortir cette feuille de papier de ses archives et corriger à la main les octets modifiés (ce qui ne fait pas un travail énorme pour la table de partition).
L'autre méthode est automatique. Le problème est qu'il faut avoir sous la main un autre disque contenant au moins une version minimum de Windows, EditHexa et la copie du MBR. Ceci est faisable avec le programme PE Builder. Il existe quelques utilitaires sous Dos, donc plus faciles à mettre en œuvre avec une disquette ou une clé USB bootable. Tous les liens nécessaires sont regroupés au bas de la page du site de Jean-Claude Bellamy (voir les autres liens utiles à la fin de cet article).


http://www.futura-sciences.com/fr/sinformer/actualites/news/t/informatique/…

_________________


MSN
Publicité





MessagePosté le: Lun 11 Aoû - 10:05 (2008)

PublicitéSupprimer les publicités ?
Montrer les messages depuis:   
  Poster un nouveau sujet   Répondre au sujet medmatiq Index du Forum » Informatique » Sur le web     

    

  
 

Portail | Index | creer un forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation



Medmatiq © 2007
Forums amis : MedMar- carrefour-dentaire
skin developed by: John Olson
Powered by phpBB © 2001, 2005 phpBB Group
Traduction par : phpBB-fr.com