Windows 7 & partition système : infection possible ?

sioban · par **sioban** » 24 oct. 2011 14:21

Hello,

Je rebondis un peu sur la news concernant TDL4-rebooted et vous fait part d'une réflection qu'un testeur AV m'a fait concernant Windows 7.

Windows 7 peut être installé avec une partition système qui contient la console de restauration WinRE (l'équivalent de ce qu'il y a dans c:\recovery si la partition n'est pas utilisée). Cette partition n'est pas montée par défaut, et donc un éventuel scan par un AV n'ira pas chercher quoi que ce soit sur cette partition.

Je me demandais alors si vous aviez vu des cas d'infections de cette partition et donc avoir un système de restauration vérolé.

A vous ;)

Sioban

par **Malekal_morte** » 24 oct. 2011 23:36

Salut,

Tant que tu boots sur la partition où le MBR est infecté, en théorie, il peux être actif.
Maintenant, je pense que dans le cas de TDSS, les routines sont pensées pour fonctionner avec Windows.
Donc je pense pas que ça peux fonctionner quand tu boots sur le WinRE (enfin faut voir si les fonctions appelées sont les mêmes).
En gros ce que je veux dire, c'est que tu fais un malware multi-OS au final.

Pis à priori, si une routine qui réinfecte le MBR une fois que tu as formaté la partition existait, je pense que les AV l'aurait découvert.

Donc pour le moment, je dirai que c'est pas génant.

sioban · par **sioban** » 25 oct. 2011 09:00

WinRE ça reste du binaire Windows.

Mais ma question allait au-delà du cas particulier de TDL4-rebooted : avez-vous déjà vu des cas où la partition recovery (la partition de W7 ou les partitions des portables permettant la réinstallation) s'est fait infecter ?

Et si oui, est-ce qu'il s'agissait d'une partition montée par le système par lequel est passé le virus ou non ?

Merci

par **Malekal_morte** » 27 oct. 2011 13:06

Je n'ai pas de réponse à te donner, dans le sens où dans les rapports TDSSKiller je regarde pas trop.

sioban · par **sioban** » 27 oct. 2011 13:40

La réponse est non donc, tu n'as jamais vu d'infection de cette partition :p

chef · par **chef** » 27 oct. 2011 15:47

sioban a écrit :La réponse est non donc, tu n'as jamais vu d'infection de cette partition :p

oui sauf que sa veut pas dire que ce n'est pas possible car mak dit

dans le sens où dans les rapports TDSSKiller je regarde pas trop

donc avoir

sioban · par **sioban** » 27 oct. 2011 15:54

Bah oui j'ai bien compris mais dans ce cas c'est un peu le chat de Schrödinger dans sa boite...

Topxm · par **Topxm** » 28 oct. 2011 10:37

Salut,

Ben en même temps infecté le recovery je ne vois pas trop l'intérêt :

1 => C'est pas tous les jours qu'on s'en sers du recovery donc niveau transmission de l'infection c'est pas super intéressant

2 => Vu que c'est un recovery même s'il est infecté ça ne change pas grand chose vu que derrière il y aura une réinstallation d'un OS tout propre sur la partoche principale
faudrait voir ce que ça donne de lancer un "recovery" d'une partition infectée.

Malekal.com forum

Windows 7 & partition système : infection possible ?

Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?

Re: Windows 7 & partition système : infection possible ?