Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Doctor Web annonce l'apparition d’une nouvelle version du Trojan.MBRlock

Le 24 novembre 2011

Doctor Web annonce l'apparition d'une nouvelle version du programme extorqueur Trojan.MBRlock modifiant le secteur MBR Windows. Cette application malveillante classée comme Trojan.MBRlock.17 enregistre ses composants dans des secteurs aléatoires et ne conserve pas la clé de déblocage au format non crypté.

Le Trojan.MBRlock modifie le Master Boot Record de Windows, mais enregistre la version originale du MBR dans un autre secteur du disque dur, ainsi le trojan peut démarrer avant l'OS et bloquer ensuite le démarrage du système. Le message apparaissant demande à l'utilisateur de payer pour débloquer le PC: 400 roubles en Russie, 120 UAH en Ukraine et 60 000 BYR en Biélorussie.

Lorsque le Trojan.MBRlock.17 est lancé, il s’enregistre dans un dossier au nom fortuit et démarre calc.exe (Calculatrice Windows) en insérant son code dans ce processus. Ensuite, le Trojan.MBRlock.17 crée un fichier dans le dossier %APPDATA%\Adobe\Update\ (ce fichier est ensuite supprimé) pour lancer le processus explorer.exe et y intégrer son code. Explorer.exe infecte le MBR et cherche à arrêter le fonctionnement de Windows. Le Trojan.MBRlock.17 enregistre ses composants (c'est-à-dire les codes, les messages qu’il annonce et le MBR original) dans des secteurs choisis de façon aléatoire, cela veut dire qu’il est capable de modifier les paramètres de son propre code relatifs à la sélection des secteurs. La clé de déblocage n’est pas sauvegardée au format non crypté mais elle est créée de manière dynamique en fonction d'une série de paramètres. De plus, le trojan supprime la table des partitions après avoir fait une copie du premier secteur afin de pouvoir reconstituer ensuite le système. La signature de cette menace est déjà ajoutée dans les bases virales Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web
Expérience dans le développement depuis 1992
Les internautes dans plus de 200 pays utilisent Dr.Web
L'antivirus est fourni en tant que service depuis 2007
Support 24/24

Dr.Web © Doctor Web
2003 — 2021

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg