Dans votre entreprise plusieurs ordinateurs ont été infectés par un malware qui semble avoir modifié le Master Boot Record (MBR) des machines. Ce malware ne peut pas être complètement éliminé par les logiciels antivirus standard et continue de réinfecter les machines, même après plusieurs tentatives de nettoyage. Vous suspectez que ce code malveillant utilise des techniques de dissimulation et de persistance avancées pour échapper aux mesures de sécurité mises en place.
Quelle mesure serait la plus efficace pour éradiquer définitivement ce type de malware ?
[A] Exécuter un outil lancé depuis un support amorçable pour restaurer le MBR
[B] Activer la fonctionnalité Secure Boot du BIOS UEFI
[C] Configurer une analyse antivirus régulière et planifiée pour détecter les virus furtifs
[D] Mettre à jour le système d’exploitation avec les derniers correctifs de sécurité disponibles
Proposition [A] : Les malwares qui infectent le MBR (Bootkit) peuvent être éradiqués par l’utilisation d’un outil de suppression lancé depuis un support amorçable (typiquement une clé USB). L’outil permet de restaurer le MBR sans démarrer l’ordinateur sur le MBR infecté empêchant ainsi que le malware se charge en mémoire et puisse interférer avec le programme de suppression.
Proposition [B] : La fonctionnalité Secure Boot du BIOS UEFI est une mesure préventive. Elle empêche un code malveillant de porter atteinte à l’intégrité du MBR via des signatures numériques mais elle ne permet pas d’éradiquer le code malveillant s’il est déjà présent au moment de son activation.
Proposition [C] : Bien que des scans réguliers d’un antivirus puissent aider à détecter et à éradiquer certains types de malware, un Bookit nécessite bien souvent des outils spécifiques qui doivent fonctionner sans charger le système d’exploitation via le MBR infecté.
Proposition [D] : Mettre à jour le système d’exploitation avec les derniers correctifs de sécurité disponibles ne permet pas de supprimer un Bookit déjà présent sur le système.
La bonne réponse est la proposition [A]
Pour en savoir plus sur les codes malveillants nous vous recommandons de suivre le module n°21 de la formation CISSP de VERISAFE.
Questions et réponses rédigées par VERISAFE selon le programme officiel du CISSP actuellement en vigueur
© VERISAFE – Utilisation ou reproduction (même partielle) strictement interdite sans l’accord écrit de VERISAFE