On pensait la technique reléguée au musée des horreurs, mais en
2005 un chercheur de la société eEyes produisait un chevale de Troie
exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
PC via une installation sauvage (à la viste d'un site web piégé) et
s'installe sur le Master Boot Record du disque dur.

http://www.symantec.com/business/sec...010718-3448-99


Dans les premiers temps de l'infection, le trojan n'était pas guère
détecté : les outils de sécurité actuels ont depuis longtemps cessé de
se préoccuper du MBR. Seules les tentatives d'installation via un site
web piégé étaient susceptibles de l'être.

Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
installe secrètement d'autres logiciels malveillants, qui servent
notamment à voler les mots de passe des internautes qui désirent accéder
en ligne à leur compte de banque.

Selon Symantec, le rootkit ne peut pas être supprimé lorsque le système
d'exploitation est ouvert. Pour se débarrasser du cheval de Troie, les
utilisateurs doivent entrer la commande «fixmbr» dans le Windows
Recovery Console, un outil accessible lors du démarrage du PC.

DePassage a écrit :
> On pensait la technique reléguée au musée des horreurs, mais en
> 2005 un chercheur de la société eEyes produisait un chevale de Troie
> exploitant à nouveau cette technique, elle est aujourd'hui remis au goût
> du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les
> PC via une installation sauvage (à la viste d'un site web piégé) et
> s'installe sur le Master Boot Record du disque dur.
>
> [..]

Réussir à installer un cheval de Troie dans le MBR mérite au moins la
médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
n'en fait pas 0.5

Seul moyen de se sortir d'une telle infection, consulter au plus vite un
Maraboot :)

Roland Garcia wrote:

> Réussir à installer un cheval de Troie dans le MBR mérite au moins la
> médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
> n'en fait pas 0.5

Je vois que ca ne t'a pas échappé :-)

En plus ca empiète sur la table des partitions (les 66 derniers octets
si je me souviens bien)

Ensuite quid des ordis avec tatouage ?(Packard Bell, HP.compaq, Acer, etc)

Peut etre une solution comme le BootMgr de Vista et Grub quant on veut
installer une solution à la Ubuntu, qui évite l'écrasement de la MBR ?
(un chainage)

J'ai trouvé d'autres détails (surement plus explicites) il y aura
surement réponse quant à la taille annoncée par symantec (qui je pense a
du inclure la taille totale avec la partie qui figure dans une portion
du disque.

http://blog.trendmicro.com/mbr-rootkit-a-web-threat/

http://www2.gmer.net/mbr/

M'enfin rien de neuf sous le soleil, sous Amiga, on s'amusait déja à
faire la meme chose pour les craks avec intro, le boot Amiga/atari etc
en allant sur les autres secteurs permettant l'amorcage grace à un
bootLoader

hello DePassage you wrote

[..]
>
> Une fois installé dans l'ordinateur, Trojan.Mebroot télécharge et
> installe secrètement d'autres logiciels malveillants, qui servent
> notamment à voler les mots de passe des internautes qui désirent
> accéder en ligne à leur compte de banque.
>
> Selon Symantec, le rootkit ne peut pas être supprimé lorsque le
> système d'exploitation est ouvert. Pour se débarrasser du cheval de
> Troie, les utilisateurs doivent entrer la commande «fixmbr» dans le
> Windows Recovery Console, un outil accessible lors du démarrage du PC.

Ho pardon, je n'avais pas encore ton post d'affiché :-(

Mea culpa

Roland Garcia a écrit :

> Réussir à installer un cheval de Troie dans le MBR mérite au moins la
> médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
> n'en fait pas 0.5

Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
le MBR, et de placer le code malveillant proprement dit dans d'autres
secteurs du disque.
C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
http://www2.gmer.net/mbr/

Donc rien d'étonnant en fin de compte.

---------------------------

The installer of the rootkit writes the content of malicious kernel
driver (244 736 bytes) to the last sectors of the disk (offset: 2 142
830 592) and then modifies sectors 0 (MBR), 60, 61 and 62.

The content of hidden sectors:
# 0 - MBR rootkit loader
# 61 - kernel part of loader
# 62 - copy of original MBR

---------------------------

Frederic Bonroy wrote:
> Roland Garcia a écrit :
>
>> Réussir à installer un cheval de Troie dans le MBR mérite au moins la
>> médaille Fields, surtout quand il est décrit faire 467 KB et que le MBR
>> n'en fait pas 0.5
>
> Le truc classique dans ce cas, c'est de placer du code auxiliaire dans
> le MBR, et de placer le code malveillant proprement dit dans d'autres
> secteurs du disque.
> C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
> [..]
>
> Donc rien d'étonnant en fin de compte.

Comme du temps de l'Amiga. Meme façon de procéder.
Méthode qui date d'il y a heu.. Aie ! 15 ans :-)

DePassage a écrit :
> Frederic Bonroy wrote:
>
> Comme du temps de l'Amiga. Meme façon de procéder.
> Méthode qui date d'il y a heu.. Aie ! 15 ans :-)

Exactement :)

On Sun, 13 Jan 2008 18:20:06 +0100, Frederic Bonroy
<bidonavirus> wrote:

>C'est d'ailleurs ce que fait cette cochonnerie, c'est décrit ici:
>[..]

Et qui a publié le code pour ce faire ? :-)

Après on s'étonne qu'un "rigolo" l'utilise en le modifiant à peine
pour le rendre "utile" :-)

Il semblerait que cette cochonnerie ne fonctionne pas sous Vista,
l'accès en écriture aux secteurs du DD est interdite en mode
utilisateur. Mais Vista permet d'accéder quand même aux 62 premiers
secteurs qui ne sont en général pas utilisés par les systèmes NT.
Donc, rien n'empêche sous vista de recopier un code malveillant dans
ces 62 secteurs en tête du disque, pas les 244.736 bytes de ce
codenien entendu.

Les AV classiques ne voient pas cette modification du MBR puisqu'ils
reçoivent une copie via le secteur 62.

Quid des programmes demo ou sharewares avec limitation dans le temps ?
Certains viennent justement écrire sur ces 62 secteurs...