Un rootkit vicieux qui oblige à restaurer Windows

Popureb le vicieux

Microsoft met en garde contre un nouveau malware particulièrement envahissant, nommé Popureb : ce dernier ne nécessite ni plus ni moins qu'une restauration de Windows pour être éradiqué.

Popureb est un malware de type bootkit, qui se dissimule donc de façon habile dans le système contaminé, et prend le contrôle de l'OS dès son démarrage en prenant le soin d'écraser le MBR, le secteur zéro du disque dur : le malware est ainsi particulièrement difficile, voire impossible, à détecter et à supprimer du système qu'il affecte. Dans la mesure où le malware est programmé pour transformer les opérations d'écriture du MBR en lecture, les méthodes de nettoyage traditionnelles semblent fonctionner, mais ce n'est en réalité pas le cas.

Sur son blog Microsoft Malware Protection Center, la firme de Redmond ne prend pas de détour : « Si votre système est infecté avec ce Trojan:Win32/Popureb.E, nous vous recommandons de rétablir le MBR et d'utiliser ensuite le CD de restauration pour restaurer votre système à un état antérieur à l'infection » explique l'ingénieur Chung Feng.

La démarche nécessite de passer par la console de récupération via un CD de restauration ou d'installation de Windows XP, Vista ou 7, de manière à réparer le secteur zéro endommagé par le bootkit à l'aide de la commande « fixmbr ». Ensuite, une restauration du système est nécessaire, toujours à partir du disque, pour revenir à un état de l'OS datant d'avant la contamination - encore faut-il réaliser des points de restauration pour que cette manoeuvre soit possible.

Comme son nom l'indique, Trojan:Win32/Popureb.E se diffuse comme un cheval de Troie, il s'agit donc d'être vigilant quant aux fichiers récupérés sur Internet et par mail pour minimiser les risques de contamination du système par ce malware particulièrement intrusif.