Un nouveau virus et 5000 victimes

Un nouveau virus a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit .

Ce rootkit que la société a nommé Mebroot, s’installe dans le MBR (Master Boot Record) du disque dur, la zone dans laquelle le système d’exploitation stocke les informations relatives aux emplacements des fichiers. Une fois intégré dans ce secteur, Mebroot peut contrôler l’ensemble de la machine, en faisant notamment appel à un malware de 467 Ko installé dans le tout dernier secteur du disque dur.

Les attaques par rootkit ne sont pas nouvelles, et divers PoC (Proof-of-Concept) ont été créés en 2005 et 2007 par plusieurs experts en sécurité. D’ailleurs, Symantec indique que le code de Mebroot reprend en partie le code du PoC créé en 2005 par Derek Soeder d’eEye Digital Security, notamment tout le cœur. Le reste a été modifié pour être adapté aux besoins de l’auteur, en particulier l’appel au malware.

Selon Symantec, le problème principal reste que la majorité des systèmes Windows permet un certain écrasement des données du MBR, même en mode utilisateur (par opposition au mode administrateur). Durant le développement de Vista, Joanna Rutkowska avait démontré que la chose était également possible avec le nouveau système de Microsoft, une faille qui a été corrigée avec la Release Candidate 2 (et donc la version finale).

Pour l’instant, Mebroot s’installe et s’exécute avec succès sous Windows XP, quel que soit le Service Pack installé. Il ne fonctionnerait d’ailleurs bien qu’avec cette version de Windows, à cause en particulier d’un code spécifique dans le rootkit.