Protégez votre univers

Nos autres ressources

  • free.drweb.fr — utilitaires gratuits, plugins, widgets
  • av-desk.com — service Internet pour les prestataires de services Dr.Web AV-Desk
  • curenet.drweb.com — l'utilitaire de désinfection réseau Dr.Web CureNet!
Fermer

Bibliothèque
Ma bibliothèque

+ Ajouter à la bibliothèque

Contacter-nous !
Support 24/24 | Rules regarding submitting

Nous téléphoner

0 825 300 230

Forum

Vos requêtes

  • Toutes : -
  • Non clôturées : -
  • Dernière : le -

Nous téléphoner

0 825 300 230

Profil

Retour aux actualités

Un nouveau trojan qui se restaure suite à sa suppression

Le 26 octobre 2012

Doctor Web annonce la propagation du Trojan.GBPBoot.1, comportant un mécanisme particulier d’auto-restauration.

Vu ses fonctions malveillantes, on aurait pu croire que c'est un trojan assez primitif: il est capable de télécharger et de lancer sur l'ordinateur infecté des fichiers exécutables et des programmes malveillants se trouvant sur un serveur distant et non sur le PC infecté. Mais ce qui nous intéresse, c’est sa particularité, puisqu’il est capable de lutter contre sa suppression.

Le Trojan.GBPBoot.1 possède plusieurs modules. Le premier infecte le MBR puis sauvegarde son module installateur, son module d'auto-restauration, une archive avec un fichier explorer.exe et ses données de configuration. Ensuite, il sauvegarde une copie de l'installateur dans le dossier système, lance cette copie et supprime le fichier 'installateur de départ.

Suite à son lancement, l'installateur sauvegarde un fichier de configuration et une bibliothèque dynamique dans le dossier système, il enregistre la bibliothèque en tant que service système. Ensuite l'installateur lance ce service et s'auto-supprime.

Le service système créé par l'installateur lance un fichier de configuration (où lit les données de configuration déjà enregistrées sur le disque par un dropper), établit une connexion avec le serveur distant et lui envoie les données de l'OS infecté puis cherche à télécharger des fichiers exécutables depuis le serveur. Si le téléchargement échoue, le trojan cherche à les télécharger de nouveau suite au redémarrage de l'OS.

Si le fichier de service système est supprimé (par exemple lors du scan antivirus), le mécanisme d'auro-restauration s'active. En utilisant le MBR infecté, lors du démarrage du PC, le trojan lance une procédure de recherche de fichiers de service système: les fichiers NTFS et FAT32. Si aucun de ces fichiers n'est détecté, le Trojan.GBPBoot.1 écrase le fichier explorer.exe avec un ficher à lui, qui contient un mécanisme d'auto-restauration, le trojan sera alors lancé en même temps que l'OS Windows. Ainsi, le processus explorer.exe infecté recontamine le PC puis restaure et lance le processus explorer.exe non infecté. Ainsi le scan de l'OS par un antivirus ne sera pas toujours efficace car le trojan pourra se restaurer.

Le logiciel Dr.Web prévoit un mécanisme de traitement de cette menace qui permet notamment de traiter le MBR infecté, pour cette raison Trojan.GBPBoot.1 n'est pas dangereux pour les utilisateurs Dr.Web.

Votre avis nous intéresse

Chaque commentaire = 1 Dr.Webonus ! Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.


Other comments

Editeur russe des solutions antivirus Dr.Web

Expérience dans le développement depuis 1992

Les internautes dans plus de 200 pays utilisent Dr.Web

L'antivirus est fourni en tant que service depuis 2007

Support 24/24

© Doctor Web
2003 — 2019

Doctor Web - éditeur russe des solutions antivirus Dr.Web. Doctor Web développe les produits Dr.Web depuis 1992.

333b, Avenue de Colmar, 67100 Strasbourg