Infos

« Gel » du disque dur comme mode de protection

Les spécialistes de la société vietnamienne Bkav qui développe des solutions de protection des réseaux ont découvert un nouveau programme malveillant doté d’un mécanisme de protection inhabituel. Une fois sur l’ordinateur, le programme malveillant crée un point de restauration : il enregistre toutes les modifications introduites par l’utilisateur dans le système de fichiers et les annule au redémarrage, ce qui ramène le disque dur à son état au moment de l’infection. Cela signifie que toutes les modifications introduites pendant la session (nouveaux documents, programmes et données chargées, correctifs, résultats des copies, etc.) seront perdues après le redémarrage et le programme malveillant réapparaîtra, même s’il vient d’être supprimé.

D’après Bkav, quand le nouveau programme malveillant est exécuté (les analyseurs heuristiques de Kaspersky Lab lui donne le verdict PDM:Trojan.Win32.Staser.a) remplace l’icône du disque dur et crée d’autres modules exécutables :

  • Wininite.exe pour recevoir des instructions depuis deux serveurs de commandes, un en Chine, et l’autre aux Etats-Unis ;
  • DiskFit.sys, un pilote chargé de la remise à l’état antérieur du disque dur ;
  • PassThru.sys, un pilote réseau qui bloque l’accès à des sites définis et qui organise des redirections ;
  • Black.dll pour diffuser la menace.

Pour revenir à l’état antérieur, DiskFit crée un espace virtuel pour le contrôle des lectures/écritures des données et la zone de cache sur le disque. Quand l’utilisateur lance une opération de lecture ou d’écriture, DiskFit copie les données sollicitées dans la zone de cache et assure la redirection. L’utilisateur est alors privé de la possibilité de modifier le système de fichiers.

(source : Bkav)

Les experts déclarent en résumé que "ce virus peut être considéré comme un rootkit, bien que son mécanisme de protection soit pour le moins inhabituel. Au lieu de lutter contre les agressions à l’encontre de ses modules, comme un rootkit traditionnel, il maintient l’ensemble du disque dans un état inchangé." Bkav propose un utilitaire gratuit pour supprimer la nouvelle menace.

Source : http://news.softpedia.com/news/New-Virus-Protects-Itself-by-Freezing-Hard-Disk-384132.shtml

« Gel » du disque dur comme mode de protection

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception