Suite à la déferlante (Not)Petya survenue fin juin, de nombreux articles ont été écrits sur le fonctionnement du malware avant redémarrage de la station infectée, mais bien peu sur ce qui se passe ensuite. Cet article détaille pas à pas comment analyser la phase de boot, en se voulant didactique.
Le fichier analysé est la DLL de md5 71b6a493388e7d0b40c83ce903bc6b04 que l’on peut trouver facilement sur Internet. Avant de tenter de se propager sur le réseau local puis de chiffrer des fichiers en fonction de leur extension, le malware réécrit les premiers secteurs du disque (à condition d’avoir obtenu les droits suffisants) pour installer son propre programme de démarrage (bootloader) :
- le MBR original est copié dans le secteur 34, puis son contenu est xoré avec 7 ;
- les 19 premiers secteurs sont remplacés par un nouveau programme de démarrage qui est l’objet de cet article ;
- la table de partitions originale est copiée dans le nouveau MBR ;
- le secteur 32 contient la configuration du malware (voir figure 1) ;
- le secteur 33 est rempli avec la valeur 7.
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première