Un faux test de QI combine en fait virus, rootkit et ver dans une formule fatale. BitDefender®, éditeur de solutions de sécurité antimalwares, a identifié aujourd'hui une nouvelle menace informatique alliant le comportement destructeur des virus aux mécanismes de diffusion des vers. Il existe deux variantes connues de ce virus, qui s'introduit dans l'ordinateur sous la forme d'un innocent test de QI.

Une fois exécuté, le ver crée entre sept et onze copies de lui-même (selon la variante) dans des zones sensibles du système de Windows.

Win32.Worm.Zimuse.A est un malware extrêmement dangereux. Contrairement à la plupart des vers, Win32.Worm.Zimuse.A peut causer d'importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d'amorçage du disque dur (Master Boot Record) - une zone essentielle du disque dur.

Afin de s'exécuter à chaque amorçage de Windows, le ver définit l'entrée de registre suivante :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe

Il crée également deux fichiers pilotes : %system%\drivers\Mstart.sys et %system%\drivers\Mseu.sys

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premières étapes de l'infection, il est presque impossible aux utilisateurs de découvrir que leur système est victime d'une menace informatique. Suite à l'infection, après un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l'ordinateur affiche un message d'erreur affirmant qu'un problème a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d'une URL particulière. L'utilisateur est ensuite invité à restaurer le système en appuyant sur « OK ». Le redémarrage qui a lieu à la suite de ce message, endommage le disque dur de l'ordinateur en raison de la corruption du secteur d'amorçage.

Pour voir une vidéo présentant les étapes d'une attaque de Win32.Worm.Zimuse.A.

Afin de profiter d'Internet en toute sécurité, BitDefender recommande d'installer et de mettre à jour régulièrement une suite antimalware complète avec une protection antivirus, antispam, antiphishing et pare-feu. Nous recommandons la plus grande vigilance aux utilisateurs lorsqu'il leur est demandé d'ouvrir des fichiers provenant d'emplacements inconnus.

Marc Blanchard, épidémiologiste et Directeur des Laboratoires Editions Profil pour BitDefender en France ajoute :

" Le Worm Zimuse fait partie des malwares dit 'hautement destructeur'. Il en existe peu en circulation, les hackers ayant plutôt tendance à exploiter les machines des utilisateurs de manière invisible, mais ce type de menace est néanmoins émergeant ces dernières semaines. Leurs principes de fonctionnement ne laissent aucune chance à l'utilisateur une fois la destruction programmée. De plus, du fait que le secteur d’amorçage du disque dur Master Boot Record est touché, un reformatage dit de haut niveau ne suffira pas à retirer ce malware. Il faudra, alors, procéder à un reformatage du disque dur dit « d'usine », ce qui n'est pas toujours évident à mettre en place pour un utilisateur standard. Seule solution pour éviter ce type d’attaque, installer une protection antivirale proactive AVANT que le malware puisse opérer son action de destruction."

Suite à la diffusion croissante du malware Win32.Worm.Zimuse qui s’attaque aux disques durs des personnes qui en sont victimes, BitDefender®, éditeur de solutions de sécurité antimalware, met à la disposition de tous les internautes un outil de désinfection gratuit disponible :

Sur le site web   ou directement en téléchargeant l'Outil de désinfection

Pour se prémunir de se type de menace et éviter les désinfections à postériori, BitDefender recommande de disposer d’une solution de sécurité proactive régulièrement mise à jour.