09/01/2008 @ 11:45:20: Virus - Le retour des virus attaquant le MBR
Les plus anciens d'entre nous se souviennent avec émoi des premiers virus qu'ils ont rencontré. Au lieu d'afficher des pages de sites pornos ou d'envoyer des informations au Guatemala sur notre compte bancaire, les virus étaient techniquement intéressant.

Le retour des virus à l'ancienne s'attaquant au MBR, c'est pour 2008 avec un rootkit qui a déjà infecté pas moins de 5000 machines en un seul mois. La plupart des antivirus modernes sont incapables de détecter maintenant ce genre de virus, seul Symantec le détecte en fait en le nommant Trojan.Mebroot.

Chaque version de Windows est vulnérable à ce rootkit et il est distribué via environ 30.000 sites web à travers le monde, dont une majorité en Europe.
Source: The Register
Auteur: zion
09/01/2008 @ 12:23:44: ovh: Le retour des virus attaquant le MBR
Aaaaaaaah \o/

En plus les virus de mbr sont les plus faciles à programmer :cupra:
09/01/2008 @ 12:27:55: zion: Le retour des virus attaquant le MBR
T'en as vu depuis longtemps toi? C'était quasi relégué à l'histoire :dawa:
09/01/2008 @ 12:32:21: ovh: Le retour des virus attaquant le MBR
Ca fait des années que je ne suis plus vraiment l'actu des virus non plus :petrus:
Aaah l'époque des codebreakers et autres 29A... :joce:
09/01/2008 @ 15:32:54: rfr: Le retour des virus attaquant le MBR
J'ai perdus les sources de mon virus TSR-EXE-COM Polymorphique :sad: Ouin!!!!! Au moins avant, c'était drôle :kiki:
09/01/2008 @ 15:34:48: sphinx: Le retour des virus attaquant le MBR
c'est quoi un virus ?
09/01/2008 @ 15:39:15: rfr: Le retour des virus attaquant le MBR
Aaaaaaaah \o/

En plus les virus de mbr sont les plus faciles à programmer :cupra:


Je suis pas d'accord, c'était super chiant à faire (Int13h only...) et pas super efficace non plus vu qu'il fallait booter sur la disquette. Le DOS apportait quand même une série de services intéressants ... Les MCBs, l'int 21h, les headers EXE et j'en passe ... Arghhhh la modification des IVs.

Je me souviens la larme à l'oeil de ma scéance avec debug pour comprendre comment fabriquer une instruction JMP SHORT|NEAR et de la migraine (ma mère avait même appelé le médecin) que j'avais quand j'ai ouvert mon premier bouquin d'assembleur et c'est rentré quand même :ddr555:
09/01/2008 @ 15:47:36: ovh: Le retour des virus attaquant le MBR
Oui c'est basique mais je parlais surtout de l'installation du virus dans le mbr, ça c'est l'enfance de l'art, plus simple que modifier un .exe je trouve :grin: Le top étant le .com, ça c'était cool :petrus:
09/01/2008 @ 16:08:53: rfr: Le retour des virus attaquant le MBR
Un EXE était simple aussi quand tu vois à quoi ressemble un PE ...
Quand je pense que le header exe, comme je n'avais pas de docs, je m'étais amusé à faire du reverse-engineering pour le comprendre :ddr555:
Dernière édition: 09/01/2008 @ 16:10:35
09/01/2008 @ 16:18:01: ovh: Le retour des virus attaquant le MBR
M'enfin :ciler:
Sinon clair que le PE c'est autre chose :fouyaya:

Je précise que je n'ai jamais codé de virus, juste lu pas mal de doc à l'époque et fait quelques tests innofensifs :oh:
09/01/2008 @ 18:17:58: : Le retour des virus attaquant le MBR
Je suis épaté qu'un virus puisse se charger dans le MBR et ne pas se faire déloger par Windows quand il boote. Et surtout, rester actif en même temps que Windows tout en infectant ce qui lui tombe sous la main, c'est du grand art. (sans compter que pour aller infecter le MBR depuis Windows ça ne doit pas être évident non plus)

Aaah, les bons vieux virus et le plaisir de les analyser... Les bêtes truc qui détournaient le 13h et se reproduisaient via les disquettes qu'on oubliait dans le lecteur au boot... Les virus qui se tapaient à la fin des .com (ou .exe pour les meilleurs) et qu'on reconnaissait à leur CALL 00h (relatif) pour empiler leur adresse de base (C800 en code machine si je me rappelle bien)... Le plus beau était un virus qui, à chaque tick d'horloge (18x par seconde), appliquait un XOR sur tout son code. Et le code était ainsi écrit que ce masque changeait le code mais pas le résultat. Sur 10 opérations, il n'y en avait jamais qu'une qui faisait vraiment qqc, les autres copiaient dans un sens puis dans l'autre, chargeaient des choses inutiles, etc et à chaque changement du code, une partie du code inutile devenait utile et vice-versa. Absolument splendide.
09/01/2008 @ 18:50:52: rfr: Le retour des virus attaquant le MBR
Comme le truc avec l'int 1 qui permettait au virus de decrypter son code au fur et à mesure de son execution et qui réencryptait les instructions qu'il venait d'effectuer.
09/01/2008 @ 19:58:04: ovh: Le retour des virus attaquant le MBR
Un des virus que j'ai trouvé les plus crapuleux et pourtant il était assez peu répandu je pense, d'ailleurs je ne me souviens plus de son nom :joce: bref, c'était un virus mbr qui s'amusait à crypter aléatoirement quelques secteurs du disque à chaque chargement... :petrus: Le virus assurait en même temps le décryptage à la volée lors des accès I/O pour ne pas se faire remarquer. Mais l'idée tient du génie, car le virus se rend ainsi indispensable : sa suppression entraîne aussitôt l'impossibilité de lire les données du disque.