Le retour du MBR infecté

S'attaquer au secteur d'amorce principal du disque dur était une pratique courante, et terriblement efficace, il y a encore dix ans. Mais l'apparition de voies d'infection nettement plus faciles à exploiter, tels que les documents Word piégés ou les vers "mass mailer" en Visual Basic, ont relégué la technique au musée.

Pas pour tout le monde, cependant. Si dès 2005 un chercheur de la société eEyes produisait un chevale de Troie exploitant à nouveau cette technique, elle est aujourd'hui remis au goût du jour par un groupe de pirates. Le trojan Mebroot arrive ainsi sur les PC via une installation sauvage (à la viste d'un site web piégé) et s'installe sur le Master Boot Record du disque dur.

L'avantage d'être sur le MBR, comme le savaient bien les anciens, est que le code malveillant est exécuté largement avant n'importe quel système d'exploitation, et a fortiori avant n'importe quel antivirus. Il peut donc librement prendre le contrôle du système et demeurer caché. C'est une caractéristique essentielle pour un Trojan ou rootkit, et ce qui fait tout l'intérêt de la méthode aujourd'hui encore.

Mebroot se répand actuellement dans la nature et aurait infecté au moins 5000 PC selon une analyse menée par la société VeriSign, dont la branche iDefense est à l'origine de l'alerte aux côtés de Symantec. Dans les premiers temps de l'infection, le trojan n'était pas guère détecté : les outils de sécurité actuels ont depuis longtemps cessé de se préoccuper du MBR. Seules les tentatives d'installation via un site web piégé étaient susceptibles de l'être. Cela ne pourra que s'améliorer désormais que l'attention des médias se porte sur ce code d'un autre âge.

Ce Cheval de Troie vise Windows XP, Vista, Server 2003 et 2000.