Menu Fermer

Virus qui résiste au formatage : cela existe ?

Sur les réponses de forums, on peut parfois lire un peu tout et n’importe quoi qui alimente les mythes.
Parmi ces mythes, on trouve les virus qui résistent au formatage et souvent la mention de virus BIOS.

Quelques explications autour de ces soit disant virus qui résistent au formatage.

Virus qui résiste au formatage : cela existe ?

Les virus informatiques sont des programmes informatiques

Afin de lever quelques croyances, fantasmes et mythes autour des virus informatiques (au sens large du terme).
Ces derniers sont des programmes informatiques.
Ils prennent la forme de fichiers que l’on exécute sur l’ordinateur, se charge en mémoire et une fois le processus fermé, il n’est plus actif.
Ainsi, ils doivent créer une entrée dans Windows afin de se rendre actif lors du chargement de Windows.
Pour cela, le malware de type Trojan, Backdoor, vers et autres utilisent les multiples entrées dites Autoruns qui permettent à un programme d’être actif à différentes étapes du chargement de Windows.
Les plus connus sont les clés Run du registre Windows, les services Windows ou encore les tâches planifiés mais en réalité il en existe beaucoup d’autres.
Certains autoruns sont aussi actif en mode sans échec afin de rendre la désinfection plus difficile.

Seuls, les virus au sens strict du terme n’ont pas besoin de cela.
En effet, ils modifient les exécutables de Windows (fichiers EXE ou DLL), dès lors qu’un de ces exécutables infecté est exécuté, le virus est chargé en mémoire et actif dans le système.
Il peut alors attaquer tout nouveau fichier sain exécuté sur le PC pour se dupliquer.
La seule manière de s’en débarrasser et de désinfecter la totalité des fichiers sans que le virus soit actif en mémoire et ce n’est pas forcément simple.

Plus le virus se charge tôt, mieux c’est, car cela peut permettre de prendre le contrôle plus vite du système d’exploitation et prendre le pas sur l’antivirus.
C’est pour cela, que dès 2007 des rootkits ont vu le jour, permettant de manipuler le noyau de Windows.
Puis vers 2010, les bootkits ont pris le relais, modifiant le MBR (secteur de démarrage de l’ordinateur), le bookit se charge alors avant le système d’exploitation pour le manipuler.
Ces deux dernières logiciels malveillants étaient donc redoutables, toutefois, comme tout programme informatique, un formatage permettaient de les supprimer.

En clair donc, que ce soit les Virus, Trojan, Backdoor, virus ou même Bootkit, ils sont présents sur le disque dur.
Si vous effacez le contenu complet du disque, avec un formatage, ils disparaissent.

Et pourtant chez beaucoup d’utilisateurs, on trouve des explications (parfois tordues) qui pensent le contraire.

Les virus qui résistent au formatage : cela existe ?

Les réinfections font penser à une résistance au formatage

Certains utilisateurs formatent leurs ordinateurs mais les infections reviennent.
La conclusion la plus logique pour eux est que le virus a résisté au formatage. Ce n’est bien entendu pas le cas.
Plusieurs cas ont été vu depuis ces dernières années.

Ainsi, par exemple les “vrais” virus comme Sality, Virut ou Ramnit, qui infectent les exécutables peuvent permettre la réinfection.
Le plus classique étant l’utilisateur qui formate, réinstalle ses applications depuis des setup depuis une partition “DATA” ou depuis un disque dur externe.
Bien entendu, ces exécutables ont été infectés préalablement par le virus, et donc, l’internaute réinstalle le virus dans le système sans le savoir.
Parmi les mauvais conseils que j’ai pu voir sur les forums avec ce type d’infection et l’utilisation de KillDisk ou le formatage de bas niveau, qui n’est aucunement pas nécessaire.

Les vers informatiques

Il se passe la même chose avec les machines vulnérables aux vers informatique.
Sur la capture d’écran ci-dessous un message de 2005, d’une réinfection après formatage.
Si l’utilisateur branche son ordinateur sur le réseau ou internet, la réinfection est immédiate.
Sasser n’a jamais infecté le MBR, les bootkits sont arrivés bien plus tard.

Les virus qui résistent au formatage
Plus d’informations sur les worms : vers informatiques (worms) : description et fonctionnement

Les virus imaginaires

Il y a aussi le cas, des non infectés, la personne rencontre des problèmes ou dysfonctionnement de son PC, forcément c’est un virus…
Cette personne formate l’ordinateur mais cela ne résout pas les problèmes.
Dans le même style, il existe aussi les paranoïas et persécutés… qui pensent que leurs voisins surveillent ou ont piraté leur connexion internet ou encore l’ami super balaise en informatique a infecté leur ordinateur.

Les virus qui résistent au formatage

Les Virus BIOS qui résistent au formatage

Les virus BIOS sont la solution pour résister au formatage puisqu’ils permettent de sauvegarder la partie malveillante dans un autre emplacement du disque dur.
Pour rappel, le BIOS est un composant de la carte mère qui effectue des opérations de bases au démarrage de l’ordinateur.
Mais la partie logiciel du BIOS peut-être mises à jour : flasher le BIOS.
Coder un malware BIOS universel à tous les BIOS (Award, Phoenix, AMI BIOS’s) n’est pas forcément choses aisées. A noter aussi que des protections ont aussi été ajoutées au fil du temps, comme l’interdiction de flasher le BIOS à partir de code non signé.
Toutefois, quelques virus BIOS ont existé par le passé.

A partir de 1998, le virus Technernobyl cherchait à supprimer le BIOS de ordinateurs mais cela ne fonctionnait pas à tous les coups.
Le but ici était de causer des dommages.

En 2007, un proof of concept (preuve de conception) du nom de IceLord a été publié visant les BIOS Award.
Même chose en 2009 avec la société Core Security qui ont pu infecter des BIOS sans aucune protection
Courant 2011, le premier malware du nom de Mebromi a été découvert qui semble être basé en partie sur IceLord.

Les virus BIOS UEFI

Depuis les BIOS UEFI ont vu le jour… mais là aussi, des proof of concept ont pu démontrer qu’il était possible d’infecter des BIOS UEFI.
C’est notamment le cas de la société Cylance : Have you scanned your BIOS recently ?

En 2015, la société Hacking Team qui offrait des services de piratages a été piratée… parmi les révélations qui ont fait suite à ce piratage, l’utilisation d’un rootkit BIOS.
Trend-Micro a publié des informations concernant ce rootkit BIOS : Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems
Ce virus BIOS visait notamment les BIOS Insyde mais pouvait fonctionner pour les AMI BIOS
Il faut accès un physique à la machine pour installer le rootkit BIOS, car il faut démarrer sur un programme spécifique.

On voit encore ici la difficulté de contourner les restrictions et aussi de coder un malware universel à tous les BIOS.
Noter qu’une vulnérabilité sur des BIOS ou un contournement possible des protections peut permettre de créer un virus BIOS.
Toutefois à l’heure actuelle, aucun virus BIOS d’envergure et à forte propagation n’a encore vu le jour.

Les Virus BIOS : Virus qui résiste au formatage