au sommaire
Virut/Scribble : le retour d'une infection redoutable
Ce virus, dénommé selon les éditeurs Virut ou Scribble, ne se contente pas de créer des fichiers exécutables et de les lancer, il insère aussi du code malicieux directement dans les fichiers légitimes de Windows. On se retrouve ainsi rapidement avec une quantité considérable de fichiers infectés, dont certains sont vitaux pour le fonctionnement du système. Cette infection est apparue aux environs de 2006, et déjà à cette époque elles causaient bien des soucis car non seulement les fichiers exécutables étaient infectés, mais aussi les fichiers .scr voire les archives .rar. Passer son antivirus n'était pas forcément la solution car ce genre de logiciel n'est pas toujours capable de désinfecter les fichiers contaminés. Il arrivait aussi que les antivirus suppriment les fichiers infectés, effaçant ainsi des fichiers légitimes et indispensables, ce qui causait des dysfonctionnements plus ou moins graves.
Une nouvelle variante fait des ravages...
Or depuis quelques jours, une nouvelle variante a fait son apparition. Celle-ci ne se contente plus d'infecter les fichiers (exe, scr, rar mais aussi html). Elle modifie également les fichiers système (userinit.exe, explorer.exe...). Les conséquences sont donc sérieuses, d'autant plus que les outils utilisés sur nos forums pour désinfecter s'y cassent les dents (certains ne se lancent pas, d'autres ne parviennent pas à supprimer l'infection). Certains helpers parviennent à régler la majorité des problèmes en passant par la console de récupération pour restaurer les fichiers système altérés, puis en passant un scanner antivirus soit en Mode sans échec, soit en utilisant un live-cd. Les chances de désinfection restent toutefois minces et de nombreux cas se terminent par un formatage pur et simple.
À l'heure actuelle, les antivirus se mettent progressivement à jour pour prendre en compte cette infection, notamment pour les droppers (les fichiers qui installent l'infection), comme le montrent deux scans de VirusTotal à dix jours de distance, les premiers le 3 février (sur SVChost et sur Userinit) et le 13 février (également sur SVChost et sur Userinit).
Un des symptômessymptômes permettant l'identification de cette infection est la présence de deux entrées dans le fichiers hosts : zief.pl et ircgalaxy.pl
Une source d'infection courante : les cracks
La propagation de Virut s'effectue par les cracks, c'est-à-dire des programmes piratés et éventuellement déprotégés qui constituent d'excellents vecteurs compte tenu de leur abondance, aussi bien sur les réseaux P2PP2P que sur les sites spécialisés. Il est donc plus que jamais nécessaire d'être prudent sur le Net et de ne pas télécharger ce genre de fichiers, qui, d'une manière générale, véhiculent beaucoup d'infection.
En ce qui concerne la désinfection décrite sur le forum Sécurité et malwaresmalwares, il nous paraît évident qu'elle débouchera systématiquement sur un formatage, car nous ne souhaitons pas nous acharner sur un ordinateurordinateur dont nous ne serons même pas sûrs au final de son état (instable ou non, encore infecté ou non).