juin 27th, 2011

Il est des infections qui méritent un peu plus qu’un entrefilet dans une base de signatures. C’est le cas de l’équidé Win32/Popureb.E qu’a analysé avec attention Monsieur Chun Feng du Microsoft Security Research Center, et qui vaut à cette infection tout un billet avec dump à l’appui. Un cheval dont les méthodes d’attaques semblent relativement « bourrines », puisque son imbrication dans le noyau semble résister à toute tentative d’élimination par des moyens conventionnels.

La méthode de désinfection recommandée par le Vénérable Chun Feng se résume en un mot : restaurer le système avec une version antérieure à l’attaque, après avoir réparé le secteur de démarrage par un énergique Fixmbr. Un Cheval de Troie qui s’attaque au Bootstrap (littéralement « monter par les étrivières », on reste dans l’amélioration de la race chevaline), voilà qui est logique… mais pas si courant que çà.

Il ne reste plus, pour les victimes, qu’à retrouver l’endroit où a été rangé ce satané « recovery CD » et espérer que les points de restaurations sont intacts et les backups encore frais. Les quelques victimes de Pureb.E qui auraient eu la malencontreuse idée de s’être faits infecter après une récente application du SP1 de Windows 7 et qui auraient « égarés » leurs sauvegardes auront le plaisir de repartir sur une installation fraîche, dites FSAC, « from scratch after crash ».