« ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden) » C’est l’un des messages (le plus politiquement correct) qui risquent d’apparaître sur votre écran si vous avez été infecté par le virus Magistr (W32/Magistr@mm). Et il n’y a pas que son humour qui risque d’être ravageur. Découvert le 13 mars dernier, Magistr peut, en quelques semaines, détruire l’ensemble de vos données en écrasant les secteurs de boot du disque dur avant de s’attaquer au Bios de la carte mère et à la mémoire CMOS. Les victimes de Tchernobyl (le virus Win95.CIH, pas la centrale) doivent encore avoir en mémoire les exploits de ce type de « microbe ». Magistr s’attaque aux systèmes sous Windows 9x et NT.
Décrit comme « l’un des virus les plus complexes du moment » par le site F-Secure, Magistr est polymorphe. Ecrit en Assembleur, d’une trentaine de Ko, il arrive par e-mail en fichier attaché exécutable (.exe). C’est évidemment le lancement de cet exécutable qui déclenche l’infection. L’en-tête, comme le corps du message, peut être laissé vide ou illustré de texte aléatoire dont le vocabulaire aura été pioché dans les documents textes contenus sur le disque dur de l’involontaire expéditeur. Magistr s’attaque aux carnets d’adresses de Outlook Express, Netscape Messenger et même le vieillissant Internet Mail and News. Seul Eudora semble épargné. Une fois activé, le virus s’installe en résident dans la mémoire Windows et lance ses routines infectantes. Il commence par corrompre un fichier (généralement le premier de la liste) du répertoire Windows pour l’enregistrer dans la clé d’autorun de la base de registres ainsi que dans le fichier initialisation des paramètres Win.ini. Magistr est ainsi activé à chaque redémarrage de la machine. Après avoir infecté nombre de programmes (fichiers .exe et .src), il s’attaquera aux fichiers qui se trouvent sur les différents disques durs locaux et du réseau local en les remplaçant par un insultant « YOUARESHIT ». Ensuite, il porte l’estocade finale en flashant le Bios, lequel contient les paramètres de démarrage de la machine, et la mémoire CMOS, qui conserve toutes les informations liées à l’horloge.
Des dégâts irréparables
Si le virus parvient à ses fins, aucune solution logicielle ne permettra de sauver ce qui reste du système. Seul le remplacement de la puce qui contient le Bios peut éviter d’avoir à changer de carte mère. « Magistr a une action radicale », souligne Damas Tricard, chef de produit chez Symantec, « il est conçu de façon avancée par rapport aux scripts infectants qui se propagent habituellement par e-mail. » Son seul « défaut », un mode de propagation relativement lent. « Son effet destructeur permet de le repérer rapidement. C’est pour cela que nous lui attribuons 3 sur 5 dans notre échelle de risque », justifie Damas Tricard. Restez vigilant et mettez à jour vos antivirus.
Pour en savoir plus :
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…