Les virus destructeurs de secteurs de Boot seraient-ils de retour ? Il en est au moins, peut-être d'origine chinoise, qui se répand actuellement sur les PC sous Windows. Il modifie la table de partition et empêche le démarrage de l'ordinateur. Voici nos conseils pour en venir à bout. Mais il est coriace.

au sommaire

    Un MBR

    Un MBR

    Depuis quelques années les virus et autres infections détruisant le contenu du disque dur avaient disparu au profit de malwares spécialisés dans des tâches bien plus lucratives : envoyer des spams, espionner les données personnelles, comme les numéros de carte bancaires... Aussi la découverte récente d'une infection particulièrement destructrice est une vraie surprise.

    Les informations en notre possession n'indiquent pas comment ce malware peut arriver sur l'ordinateur. Il est simplement signalé que son origine est probablement chinoise.

    Les symptômes d'une infection irrécupérable

    Après l'infection, tout semble normal. La catastrophe se produit au prochain démarrage lorsqu'on voit apparaître un message du type (cela dépend du Bios de l'ordinateur) :

    Reboot and Select proper Boot device
    or InsertInsert Boot Media in selected Boot device 

    Arrivé à ce stade l'utilisateur de base panique en comprenant qu'il y a un gros problème sur le disque dur. L'utilisateur averti ou l'expert devinent immédiatement qu'il y a probablement une corruption du premier secteur du disque, le Main Boot RecordMain Boot Record ou MBR. Ils savent alors qu'il faut démarrer sur le lecteur de CD/DVDDVD, dans lequel on aura mis le CD d'installation de Windows puis, au moment où il le propose, appuyer sur R pour accéder à la console de récupération. Il faut alors taper une commande : pour XP, fixmbr c: et, pour VistaVista, bootrec /FixMbr. Cette formule magique va restaurer un MBR sain.

    Curieusement, un message avertit alors que cette commande peut altérer la table de partitionpartition. Cette remarque est trompeuse car cette opération se borne à restaurer la partie du MBR commune à tous les ordinateurs sans toucher à la table de partition, a priori différente d'un ordinateur à l'autre, qui se trouve sur ce même secteur.

    Ceci étant fait notre expert redémarre l'ordinateur et s'apprête, avec toutefois une légère angoisse, à savourer son triomphe. Or, catastrophe, l'ordinateur affiche maintenant « Table de partition invalide » ! Inutile d'incriminer une mauvaise manipulation... ou MicrosoftMicrosoft, le problème provient simplement du fait que le malware a aussi endommagé la table de partition.

    Si on lance à nouveau la console de récupération en utilisant la commande diskpart on constate qu'elle trouve bien une partition, mais de nature inconnue. La table de partition étant différente d'un ordinateur à l'autre cette situation est donc sans issue.

    Que faire ?

    En fait, il y a peut-être un remède, mais il est n'est pas à la portée de n'importe qui. Une analyse fine de la table de partition montre que le malware a écrit des valeurs incorrectes dans les octetsoctets indiquant si la partition est bootablebootable ou non, quelle est la tête de lecture sollicitée au démarrage et quelle est la nature de la partition (principale ou étendue). Puis un certain nombre d'octets suivants ont subi une combinaison logique XORXOR avec la valeur 0x1A. En toute rigueur, si on réécrit tous ces octets avec leur valeur correcte, ce qui est possible avec certains programmes spécialisés, on devrait ressusciter le disque... s'il n'y a pas d'autres dégâts ailleurs. On peut donc espérer qu'un antivirusantivirus puisse faire cette correction. Malheureusement il est évident qu'il est très facile de diffuser autant de variantes qu'on veut de ce malware, par exemple en introduisant simplement un XOR avec une valeur différente.

    Alors que faire ? On peut espérer que les antivirus pourront détecter le malware avant qu'il commette ses méfaits sur le MBR. On peut aussi enclencher la protection du MBR dans le Bios. La solution ultime serait de sauvegarder le secteur de boot en entier pour pouvoir le restaurer en cas de problème sur la table de partition. Le logiciellogiciel EditHexa permet de le faire de deux manières. La première, rustique mais simple à mettre en œuvre consiste à imprimer le contenu du MBR et, en cas de problème, à ressortir cette feuille de papier de ses archives et corriger à la main les octets modifiés (ce qui ne fait pas un travail énorme pour la table de partition).

    L'autre méthode est automatique. Le problème est qu'il faut avoir sous la main un autre disque contenant au moins une version minimum de Windows, EditHexa et la copie du MBR. Ceci est faisable avec le programme PE Builder. Il existe quelques utilitairesutilitaires sous DosDos, donc plus faciles à mettre en œuvre avec une disquettedisquette ou une clé USBUSB bootable. Tous les liens nécessaires sont regroupés au bas de la page du site de Jean-Claude Bellamy (voir les autres liens utiles à la fin de cet article).

    Je remercie Cyrrus (groupe antimalware du forum Sécurité & malwares), toujours à l'affût d'informations nouvelles, de m'avoir signalé cette nouvelle infection ainsi que le lien vers la page contenant les informations sur celle-ci, fournies par Kimberly.

    Nota : l'utilisation éventuelle des programmes indiqués est aux risques et périls des utilisateurs.