Virus qui résiste au formatage : cela existe ?

Sur les réponses de forums, on peut parfois lire un peu tout et n’importe quoi qui alimente les mythes.
Parmi ces mythes, on trouve les virus qui résistent au formatage et souvent la mention de virus BIOS.

Quelques explications autour de ces soit disant virus qui résistent au formatage.

Fonctionnement des virus

Avant de commencer, il faut bien comprendre comment fonctionnent les virus et autres logiciels malveillants.
Les virus sont des programmes informatiques, comme tout programme informatique, ils doivent être exécuter sur l’ordinateur.
Lorsque vous éteignez votre ordinateur, le virus n’est plus actif.
Il faut donc trouver un moyen de démarrer au lancement de Windows.
Windows regorge d’autoruns, c’est à dire d’emplacement qui permette à un programme de démarrer au lancement de Windows.
Les plus connus sont les clés Run, les services Windows ou encore les tâches planifiés.

Tous les autoruns ne sont pas égales, puisqu’ils ne se chargent pas au même moment.
Par exemple, un service Windows va se charger très tôt et le malware sera actif même si vous n’ouvrez pas de session utilisateur.
Alors qu’avec une clé Run, la session utilisateur doit être ouverture pour que le virus se rendre actif.
Certains autoruns sont aussi actif en mode sans échec afin de rendre la désinfection plus difficile.

Plus le virus se charge tôt, mieux c’est, car cela peut permettre de prendre le contrôle plus vite du système d’exploitation et prendre le pas sur l’antivirus.
C’est pour cela, que dès 2007 des rootkits ont vu le jour, permettant de manipuler le noyau de Windows.
Puis vers 2010, les bootkits ont pris le relais, modifiant le MBR (secteur de démarrage de l’ordinateur), le bookit se charge alors avant le système d’exploitation pour le manipuler.
Ces deux dernières logiciels malveillants étaient donc redoutables, toutefois, comme tout programme informatique, un formatage permettaient de les supprimer.

Si vous souhaitez avoir plus d’informations sur le fonctionnement des virus, se rendre sur la page : Les virus informatiques : fonctionnement et protections

Les réinfections

Certains utilisateurs formatent leurs ordinateurs mais les infections reviennent.
La conclusion la plus logique pour eux est que le virus a résisté au formatage. Ce n’est bien entendu pas le cas.
Plusieurs cas ont été vu depuis ces dernières années.

Ainsi, par exemple les « vrais » virus comme Sality, Virut ou Ramnit, qui infectent les exécutables peuvent permettre la réinfection.
Le plus classique étant l’utilisateur qui formate, réinstalle ses applications depuis des setup dans la partition D ou un disque dur externe.
Bien entendu, ces exécutables ont été infectés par le virus auparavant, en les exécutant, l’internaute réinstalle le virus sur son Windows fraîchement formaté.
Parmi les mauvais conseils que j’ai pu voir sur les forums avec ce type d’infection et l’utilisation de KillDisk ou le formatage de bas niveau, qui n’est pas nécessaire du tout.

Il se passe la même chose avec les machines vulnérables aux vers informatique, sur la capture ci-dessous un message de 2005, d’une réinfection après formatage.
Si l’utilisateur branche son ordinateur sur le réseau ou internet, la réinfection est immédiate.
Sasser n’a jamais infecté le MBR, les bootkits sont arrivés bien plus tard.

Plus d’informations sur les worms : vers informatiques (worms) : description et fonctionnement 

Les virus qui résistent au formatage

Il y a aussi le cas, des non infectés, la personne a des problèmes ou dysfonctionnement, forcément c’est un virus…
Cette personne formate l’ordinateur mais cela ne résout pas les problèmes.
Dans le même style, il existe aussi les paranoïas et persécutés… qui pensent que leurs voisins surveillent leur connexion internet ou qu’un ami super balaise en informatique a infecté leur ordinateur.

Les virus qui résistent au formatage

Les Virus BIOS

Les virus BIOS sont la solution pour résister au formatage puisqu’ils permettent de sauvegarder la partie malveillante.
Pour rappel, le BIOS est un composant de la carte mère qui effectue des opérations de bases au démarrage de l’ordinateur.
mais la partie logiciel du BIOS peut-être mises à jour : flasher le BIOS.
Coder un malware BIOS universel à tous les BIOS (Award, Phoenix, AMI BIOS’s) n’est pas forcément choses aisées. A noter aussi que des protections ont aussi été ajoutées au fil du temps, comme l’interdiction de flasher le BIOS à partir de code non signé.
Toutefois, quelques virus BIOS ont existé par le passé.

A partir de 1998, le virus Technernobyl cherchait à supprimer le BIOS de ordinateurs mais cela ne fonctionnait pas à tous les coups.
Le but ici était de causer des dommages.

En 2007, un proof of concept (preuve de conception) du nom de IceLord a été publié visant les BIOS Award.
Même chose en 2009 avec la société Core Security qui ont pu infecter des BIOS sans aucune protection
Courant 2011, le premier malware du nom de Mebromi a été découvert qui semble être basé en partie sur IceLord.

Les virus BIOS UEFI

Depuis les BIOS UEFI ont vu le jour… mais là aussi, des proof of concept ont pu démontrer qu’il était possible d’infecter des BIOS UEFI.
C’est notamment le cas de la société Cylance : Have you scanned your BIOS recently ?
Les Virus BIOS : Virus qui résiste au formatage

En 2015, la société Hacking Team qui offrait des services de piratages a été piraté… parmi les révélations qui ont fait suite à ce piratage, l’utilisation d’un rootkit BIOS.
Trend-Micro a publié des informations concernant ce rootkit BIOS : Hacking Team Uses UEFI BIOS Rootkit to Keep RCS 9 Agent in Target Systems
Ce virus BIOS visait notamment les BIOS Insyde mais pouvait fonctionner pour les AMI BIOS
Il faut accès un physique à la machine pour installer le rootkit BIOS, car il faut démarrer sur un programme spécifique.

On voit encore ici la difficulté de contourner les restrictions et aussi de coder un malware universel à tous les BIOS.
Noter qu’une vulnérabilité sur des BIOS ou un contournement possible des protections peut permettre de créer un virus BIOS.
Toutefois à l’heure actuelle, aucun virus BIOS d’envergure et à forte propagation n’a encore vu le jour.

(Visité 369 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet