Popureb : un virus de boot sous Windows

Par:
fredericmazue

jeu, 30/06/2011 - 15:16

Vous souvenez-vous de ces virus qui écrivaient le secteur de boot sur des machines comme l'Atari ou l'Amiga ? Des virus à l'ancienne, comme on en voyait plus beaucoup ces derniers temps. Cependant un vient de faire son apparition qui est beaucoup plus moderne que ses aînés, mais tout en étant construit sur le même principe.

Cette fois, au lieu de détourner une routine d'I/O du système, le virus, Win32/Popureb.E détourne une routine d'écriture dans un driver disque, comme par exemple atapi.sys.

Dans un billet de blog Microsoft donne d'intéressant détails techniques sur le procédé. Procédé qui bien entendu empêche, au moins pour l'instant, le système et donc les antivirus de régénérer le secteur de boot. Si vous êtes infectés, la seule solution est, toujours à l'ancienne :-) d'éteindre la machine puis de la redémarrer sur votre Cd-Rom Windows, et lancer l'outil de récupération selon la version de votre système depuis la console de récupération, afin de réécrire le secteur de boot.

Contrairement à ce qu'on peut lire ici et là sur le Net, il n'est pas nécessaire de réinstaller le système entièrement. Un antivirus pourra alors finaliser le nettoyage, ou vous-même en réécrivant les fichiers originaux des drivers disques .