Mbr

[invitee8d7462d]

Bonjour,

Non ce n'est pas pour une infection

J'ai seulement une question.

Dans le dossier de JPL "rootkit attaque MBR" vous préciser que le rootkit se lance avant l'AV ce qui explique qu'il était indétectable. Pourtant différents utilisateurs viennent sur le forum en indiquant qu'il sont infécté de ce rootkit. D'où ma question, comment l'ont-ils su ?

Merci
-----

[Towl]

J'ai lu l'article en diagonal, mais je dirais qu'il manque des informations ou des précision (ou je les ais pas vu )

Les virus tel que tu les présentent sont de petit virus : ils ont un principal défaut, c'est qu'ils ne se masquent pas complètement vis à vis du système d'exploitation.
Plusieurs techniques peuvent être utilisés :
- lire le mbr et vérifier ce qu'il contient (en évitant tous les appels systèmes, qui peuvent être corrompus par le virus)
- parcourir la mémoire à la recherche de code
...

Par contre, il existe un proof of concept qui utilise la virtualisation, et qui lui est indétectable (enfin au dernière nouvelle). Cette démo, nommée blue pill (en référence à matrix) a été créé par Joanna Rutkowska. Le principe est d'isoler le système d'exploitation dans une machine virtuelle, grâce au technologie de virtualisation des nouveaux processeurs. Ici, tout est controlé par le virus. L'annonce de Blue Pill : http://theinvisiblethings.blogspot.c...blue-pill.html

[JPL]

Pour les infections MBR classiques, ce que j'ai voulu dire c'est que le malware se lance au démarrage, donc bien avant que l'antivirus sont actif et puisse l'intercepter. Pendant tout le temps qui précède le démarrage de l'antivirus il peut faire ce qu'il veut.
Ceci étant dit il peut en effet mettre en place ou non des stratégies pour se masquer plus ou moins efficacement des antivirus, une fois que ceux-ci se sont lancés. D'autre part les antivirus (ou mieux d'autres outils plus spécifiques) développent des stratégies pour déjouer les techniques de masquage.
Je viens de me relire et je n'ai jamais dit dans l'actualité que c'était indétectable.