Magistr : le virus qui s’attaque au Bios

Cloud

S’il se propage par e-mail en pièce jointe, Magistr se démarque des habituels virus écrits en script. Ecrit en Assembleur, cet héritier de Tchernobyl s’attaque aux fichiers exécutables, aux disques durs et, pour finir, au Bios et à la mémoire CMOS. A éviter impérativement !

« ARF! ARF! I GOT YOU! v1rus: Judges Disemboweler. by: The Judges Disemboweler. written in Malmo (Sweden) » C’est l’un des messages (le plus politiquement correct) qui risquent d’apparaître sur votre écran si vous avez été infecté par le virus Magistr (W32/Magistr@mm). Et il n’y a pas que son humour qui risque d’être ravageur. Découvert le 13 mars dernier, Magistr peut, en quelques semaines, détruire l’ensemble de vos données en écrasant les secteurs de boot du disque dur avant de s’attaquer au Bios de la carte mère et à la mémoire CMOS. Les victimes de Tchernobyl (le virus Win95.CIH, pas la centrale) doivent encore avoir en mémoire les exploits de ce type de « microbe ». Magistr s’attaque aux systèmes sous Windows 9x et NT.

Décrit comme « l’un des virus les plus complexes du moment » par le site F-Secure, Magistr est polymorphe. Ecrit en Assembleur, d’une trentaine de Ko, il arrive par e-mail en fichier attaché exécutable (.exe). C’est évidemment le lancement de cet exécutable qui déclenche l’infection. L’en-tête, comme le corps du message, peut être laissé vide ou illustré de texte aléatoire dont le vocabulaire aura été pioché dans les documents textes contenus sur le disque dur de l’involontaire expéditeur. Magistr s’attaque aux carnets d’adresses de Outlook Express, Netscape Messenger et même le vieillissant Internet Mail and News. Seul Eudora semble épargné. Une fois activé, le virus s’installe en résident dans la mémoire Windows et lance ses routines infectantes. Il commence par corrompre un fichier (généralement le premier de la liste) du répertoire Windows pour l’enregistrer dans la clé d’autorun de la base de registres ainsi que dans le fichier initialisation des paramètres Win.ini. Magistr est ainsi activé à chaque redémarrage de la machine. Après avoir infecté nombre de programmes (fichiers .exe et .src), il s’attaquera aux fichiers qui se trouvent sur les différents disques durs locaux et du réseau local en les remplaçant par un insultant « YOUARESHIT ». Ensuite, il porte l’estocade finale en flashant le Bios, lequel contient les paramètres de démarrage de la machine, et la mémoire CMOS, qui conserve toutes les informations liées à l’horloge.

Des dégâts irréparables

Si le virus parvient à ses fins, aucune solution logicielle ne permettra de sauver ce qui reste du système. Seul le remplacement de la puce qui contient le Bios peut éviter d’avoir à changer de carte mère. « Magistr a une action radicale », souligne Damas Tricard, chef de produit chez Symantec, « il est conçu de façon avancée par rapport aux scripts infectants qui se propagent habituellement par e-mail. » Son seul « défaut », un mode de propagation relativement lent. « Son effet destructeur permet de le repérer rapidement. C’est pour cela que nous lui attribuons 3 sur 5 dans notre échelle de risque », justifie Damas Tricard. Restez vigilant et mettez à jour vos antivirus.

Pour en savoir plus :

* Le commentaire de F-Secure (en anglais)

* Les informations de McAfee (en anglais)