Windows 7 & partition système : infection possible ?

Questions autour de la sécurité en général.
Pour les désinfections, merci de vous rendre dans la partie Windows --> Virus : Aide Malwares
sioban

Windows 7 & partition système : infection possible ?

par sioban »

Hello,

Je rebondis un peu sur la news concernant TDL4-rebooted et vous fait part d'une réflection qu'un testeur AV m'a fait concernant Windows 7.

Windows 7 peut être installé avec une partition système qui contient la console de restauration WinRE (l'équivalent de ce qu'il y a dans c:\recovery si la partition n'est pas utilisée). Cette partition n'est pas montée par défaut, et donc un éventuel scan par un AV n'ira pas chercher quoi que ce soit sur cette partition.

Je me demandais alors si vous aviez vu des cas d'infections de cette partition et donc avoir un système de restauration vérolé.

A vous ;)

Sioban
Malekal_morte
Messages : 110274
Inscription : 10 sept. 2005 13:57

Re: Windows 7 & partition système : infection possible ?

par Malekal_morte »

Salut,

Tant que tu boots sur la partition où le MBR est infecté, en théorie, il peux être actif.
Maintenant, je pense que dans le cas de TDSS, les routines sont pensées pour fonctionner avec Windows.
Donc je pense pas que ça peux fonctionner quand tu boots sur le WinRE (enfin faut voir si les fonctions appelées sont les mêmes).
En gros ce que je veux dire, c'est que tu fais un malware multi-OS au final.

Pis à priori, si une routine qui réinfecte le MBR une fois que tu as formaté la partition existait, je pense que les AV l'aurait découvert.

Donc pour le moment, je dirai que c'est pas génant.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: Windows 7 & partition système : infection possible ?

par sioban »

WinRE ça reste du binaire Windows.

Mais ma question allait au-delà du cas particulier de TDL4-rebooted : avez-vous déjà vu des cas où la partition recovery (la partition de W7 ou les partitions des portables permettant la réinstallation) s'est fait infecter ?

Et si oui, est-ce qu'il s'agissait d'une partition montée par le système par lequel est passé le virus ou non ?

Merci PDT_001
Malekal_morte
Messages : 110274
Inscription : 10 sept. 2005 13:57

Re: Windows 7 & partition système : infection possible ?

par Malekal_morte »

Je n'ai pas de réponse à te donner, dans le sens où dans les rapports TDSSKiller je regarde pas trop.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
sioban

Re: Windows 7 & partition système : infection possible ?

par sioban »

La réponse est non donc, tu n'as jamais vu d'infection de cette partition :p
chef

Re: Windows 7 & partition système : infection possible ?

par chef »

sioban a écrit :La réponse est non donc, tu n'as jamais vu d'infection de cette partition :p
oui sauf que sa veut pas dire que ce n'est pas possible car mak dit
dans le sens où dans les rapports TDSSKiller je regarde pas trop
donc avoir :)
sioban

Re: Windows 7 & partition système : infection possible ?

par sioban »

Bah oui j'ai bien compris mais dans ce cas c'est un peu le chat de Schrödinger dans sa boite...
Avatar de l’utilisateur
Topxm
Messages : 7942
Inscription : 08 nov. 2007 22:53
Localisation : Cognac !!!!!

Re: Windows 7 & partition système : infection possible ?

par Topxm »

Salut,

Ben en même temps infecté le recovery je ne vois pas trop l'intérêt :

1 => C'est pas tous les jours qu'on s'en sers du recovery donc niveau transmission de l'infection c'est pas super intéressant :)
2 => Vu que c'est un recovery même s'il est infecté ça ne change pas grand chose vu que derrière il y aura une réinstallation d'un OS tout propre sur la partoche principale
faudrait voir ce que ça donne de lancer un "recovery" d'une partition infectée.
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Securite informatique »