Qu’est-ce que Zimuse ?

Il y a deux variantes connues de ce virus, qui entrent dans l’ordinateur sous la forme d’un innocent test de QI.

Une fois exécutée, le ver crée entre sept et onze copies de lui-même (suivant la variante) dans des zones critiques du système Windows.

Worm.Zimuse.A est un malware extrêmement dangereux. Contrairement à la plupart des vers, Win32.Worm.Zimuse.A peut causer d'importantes pertes de données car il écrase les 50 premiers kilo-octets de la zone d'amorçage du disque dur (Master Boot Record) - une zone essentielle du disque dur.

Afin de s'exécuter à chaque amorçage de Windows, le ver définit l'entrée de registre suivante :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe

Il crée également deux fichiers pilotes :

%system%\drivers\Mstart.sys and %system%\drivers\Mseu.sys

Les versions 64 bits de Windows Vista et Windows 7 requérant des pilotes avec une signature numérique, le ver ne peut y installer ces fichiers.

Malheureusement, lors des premières étapes de l'infection, il est presque impossible aux utilisateurs de découvrir que leur système est victime d'une menace informatique. Suite à l'infection, après un certain nombre de jours (40 jours pour la variante A et 20 jours pour la variante B), l'ordinateur affiche un message d'erreur affirmant qu'un problème a eu lieu en raison de contenu malveillant présent dans les paquets IP provenant d'une URL particulière. L'utilisateur est ensuite invité à restaurer le système en appuyant sur « OK ». Le redémarrage qui a lieu à la suite de ce message, endommage le disque dur de l'ordinateur en raison de la corruption du secteur d'amorçage.

Pour voir une vidéo présentant les étapes d'une attaque de Win32.Worm.Zimuse.A, veuillez cliquer ici.