Le malware Coronavirus s’attaque aux systèmes Windows

Un nouveau malware qui s’inspire de la pandémie du COVID-19 et se fait appeler simplement «Coronavirus» a fait son apparition. Il cible les systèmes Windows et rend les disques inutilisables en effaçant le master boot record (MBR).

Effacer le MBR est la même méthode que le célèbre logiciel malveillant NotPetya utilisé en 2017 dans une campagne qui a causé des dommages financiers dans le monde entier.

Selon l’équipe de recherche de SonicWall Capture Labs, la nouvelle souche du malware est également un cheval de Troie destructeur – mais pas aussi destructeur que les autres wiper. Et comme son homonyme, il n’y a pas de remède évident. Dans un article publié la semaine dernière, les chercheurs ont expliqué que les victimes du cheval de Troie Coronavirus se retrouvent avec un écran gris et un curseur clignotant avec un simple message: “Your computer has been trashed (Traduction: “Votre ordinateur a été saccagé”).”

coronavirus

Le coronavirus (ou COVID-19) a fourni une opportunité aux cybercriminels qui cherchent à faire du profit à cause de l’inquiétude mondiale entourant la pandémie. Par exemple, une récente vague d’attaques d’hameçonnage a été observé. Cependant, l’opérateur derrière ce malware va encore plus loin, allant jusqu’à prendre le coronavirus comme nom et thème d’infection.

En ce qui concerne cette routine d’infection, le malware peut être distribué en utilisant l’une des manières habituelles – sous forme de pièce jointe malveillante, de téléchargement de fichier, de fausse application, etc.

Comment fonctionne le malware Coronavirus?

Lors de l’exécution, le logiciel malveillant démarre son processus en installant un certain nombre de fichiers d’assistance, qui sont placés dans un dossier temporaire. Un programme d’installation (un fichier d’aide nommé «coronavirus.bat») configure l’attaque en créant un dossier caché nommé «COVID-19» sur la machine victime. Les fichiers d’aide précédemment supprimés y sont ensuite déplacés, afin de passer inaperçus jusqu’à ce que son objectif soit atteint.

Après cela, le programme d’installation désactive le Gestionnaire des tâches Windows et le contrôle d’accès utilisateur (UAC) dans une nouvelle tentative de passer inaperçu, selon l’analyse. Il modifie également le fond d’écran de la victime et désactive les options pour modifier ce fond d’écran une fois la modification effectuée. Il ajoute également des entrées dans le Registre pour la persistance, puis programme le redémarrage pour terminer l’installation.

Le processus run.exe crée un fichier de commandes nommé run.bat pour garantir que les modifications de registre effectuées par «coronavirus.bat» sont gardées intactes pendant le processus de redémarrage, selon SonicWall.

Après le redémarrage, l’infection exécute deux fichiers binaires. L’un, «mainWindow.exe», affiche une fenêtre avec une image du coronavirus et deux boutons. En haut de la fenêtre, la victime est avertie que “le coronavirus a infecté votre PC!”

Les deux boutons indiquent «Supprimer le virus» et «Aide». Le premier ne fait rien lorsque l’on clique dessus. Ce dernier affiche une fenêtre contextuelle qui dit aux victimes de “ne pas perdre votre temps” car “vous ne pouvez pas mettre fin à ce processus!”

L’autre binaire exécute la la partie principale de l’attaque, il est responsable de l’écrasement du MBR.

“Le MBR initial est d’abord sauvegardé dans le premier secteur avant d’être remplacé par un nouveau, [et le] MBR est écrasé par le nouveau code”, selon les chercheurs.

Une fois l’écrasement terminé, l’affichage de la victime passe à un simple écran gris annonçant la mauvaise nouvelle:

coronavirus

SonicWall a déclaré qu’ils avaient pu analyser l’échantillon après son téléchargement sur VirusTotal. Ainsi, jusqu’à présent, il n’y a pas eu de nombreux cas de «Coronavirus» observés dans la nature, et on en sait encore très peu sur le ciblage ou les mécanismes de propagation pour ce mystérieux nouveau malware.

Ils ont également déclaré que la bonne nouvelle est que ce n’est pas aussi dangereux que les autres wiper.

“Même si le MBR n’est pas restauré … les données peuvent toujours être consultées/récupérées en montant le disque”, a expliqué la firme. «Le MBR [également] peut être potentiellement restauré, mais ce n’est pas facile et nécessite des connaissances techniques approfondies.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires
0
Nous aimerions connaître votre avis, laissez un commentaire.x
()
x