le superman des malwares?

je partage ici un truc que j'ai vu sur le forum de zhp et qui devrait avoir un gros impact sur la sécurité informatique : http://www.01net.com/editorial/654008/tombertik-le-malware-qui-detruit-votre-ordinateur-quand-il-est-detecte/

Tout le monde connait les malwares qui volent les données perso, mots de passe etc... et bien voila la nouvelle génération. Non seulement il est capable de voler vos données et de se cacher, mais en plus, si jamais il est détecté par un outils d'analyse, ce petit vicieux tentera de bousiller le système en chiffrant les données, ou en effaçant le secteur de démarrage pour vous empêcher de démarrer le pc. Et comme si ca ne suffisait pas, il se paye le luxe d'esquiver les sandbox.

J'imagine donc que le moyen le plus sûr de le virer une fois infecté, c'est par CD live. Évidemment il ne se laisse pas détecter (par CD live en théorie il est inactif donc analysable), mais comme l'article le dit, il créé des logs assez volumineux, ca peut donner un indice.

Comme c'est expliqué, il arrive par pièce jointe, donc il est très important d'afficher les extensions de fichiers pour se rendre bien compte du type de fichier que vous téléchargez, et de les analyser avant de les ouvrir.

A tous les coups les futurs ransomwares vont se mettre aussi à détruire Windows si on tente de les supprimer...

Et tu verra que pour contrer ca, microsoft va nous sortir un truc du genre un UAC qui demande l'autorisation de modifier le pc, pour chaque fichier. Du coup on pourrait bloquer l'action du malware quand il tente d'exploser windows.

Mais comme pour l'uefi, ca va emmerder le monde plus que ce sera utile

hello je ne vois pas l'interêt pour un malware d'empecher le système de démarrer....

un ransom d'accord , mais un malware simple ....

C'est surement en espérant empêcher de savoir ce qu'il a fait et l'identifier pour les désinfection. Quoique, même pas puisque même si windows ne boot plus, on peut accéder au disque avec un CD Live et potentiellement trouver l'infection.
Mais c'est vrai que c'est complètement c**, autant simplement s'auto-supprimer en effaçant les traces de sa présence.

En laissant le système utilisable, il permettrait au moins une réinfection avenir et pourrait avoir beaucoup plus de victimes. Les gens sauraient qu'ils ont été infectés mais ne sauraient pas ce que l'infection a pu faire quand elle était active.

exactement.
à mon avis il doit travailler sur le hook des processus...

Hornet a écrit:

A tous les coups les futurs ransomwares vont se mettre aussi à détruire Windows si on tente de les supprimer...

moi je les vois plutôt reprendre l'effet "création de log en masse" pour remplir le disque, et écraser l'espace vide ou se trouve les fichiers effacés, du coup même avec recuva et compagnie, on récupèrera que les fichiers cryptés ou des fichiers illisibles...

à moins d'aller les chercher dans le "Hole Partition" avec testdisk

"Whole" avec un W sinon ca veut dire trou et t'as oublié Processclose dans ta signature

yep' ^^
je mets les principaux, je les mets pas tous sinon me trois lignes pour signature mdr !

y'a aussi Start_Cleaner, Quickdiag, CMD_Command....

moi j'ai bien 4 lignes dans ma signature et si c'est écrit trop petit, y'a les balises scroll et updown qui sont pratiques

bof
moi je mets la même partout comme ca je m'emmer$e pas ^^

Ah oui c'est vrai que tu traine partout toi, tu va finir par perdre la boule à force d'être sur tous les forums (si toutefois c'est pas déjà fait )

mais non je suis pas partout ^^

SOSvirus Formation
SOSvirus.net
01Net
Cnet
FEI
comment-supprimer.com
http://www.gen-hackman.com

7, ca en fait juste 6 de plus que moi. Et tu peux ajouter les forums où tu va pour blablater ou donner des infos comme ici et www.forum.nicolascoolman.fr

Ca m’étonne de ne jamais être tombé sur une intervention de toi sur le forum de malekal d'ailleurs.

c'est la geurre entre malekal et moi je n'y posterai jamais et lui m'a interdit de poster sur son fofo ( toutes façons je m'en fous c'est un guignol ^^