« Gel » du disque dur comme mode de protection

Les spécialistes de la société vietnamienne Bkav qui développe des solutions de protection des réseaux ont découvert un nouveau programme malveillant doté d’un mécanisme de protection inhabituel. Une fois sur l’ordinateur, le programme malveillant crée un point de restauration : il enregistre toutes les modifications introduites par l’utilisateur dans le système de fichiers et les annule au redémarrage, ce qui ramène le disque dur à son état au moment de l’infection. Cela signifie que toutes les modifications introduites pendant la session (nouveaux documents, programmes et données chargées, correctifs, résultats des copies, etc.) seront perdues après le redémarrage et le programme malveillant réapparaîtra, même s’il vient d’être supprimé.

D’après Bkav, quand le nouveau programme malveillant est exécuté (les analyseurs heuristiques de Kaspersky Lab lui donne le verdict PDM:Trojan.Win32.Staser.a) remplace l’icône du disque dur et crée d’autres modules exécutables :

  • Wininite.exe pour recevoir des instructions depuis deux serveurs de commandes, un en Chine, et l’autre aux Etats-Unis ;
  • DiskFit.sys, un pilote chargé de la remise à l’état antérieur du disque dur ;
  • PassThru.sys, un pilote réseau qui bloque l’accès à des sites définis et qui organise des redirections ;
  • Black.dll pour diffuser la menace.

Pour revenir à l’état antérieur, DiskFit crée un espace virtuel pour le contrôle des lectures/écritures des données et la zone de cache sur le disque. Quand l’utilisateur lance une opération de lecture ou d’écriture, DiskFit copie les données sollicitées dans la zone de cache et assure la redirection. L’utilisateur est alors privé de la possibilité de modifier le système de fichiers.

(source : Bkav)

Les experts déclarent en résumé que "ce virus peut être considéré comme un rootkit, bien que son mécanisme de protection soit pour le moins inhabituel. Au lieu de lutter contre les agressions à l’encontre de ses modules, comme un rootkit traditionnel, il maintient l’ensemble du disque dans un état inchangé." Bkav propose un utilitaire gratuit pour supprimer la nouvelle menace.

Source : http://news.softpedia.com/news/New-Virus-Protects-Itself-by-Freezing-Hard-Disk-384132.shtml

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *