Kaspersky a publié sur son site Securelist la description d'une plateforme de malwares très avancée, nommée Equation.

En anglais :
Le communiqué qui résume les principaux points : http://securelist.com/blog/research/68750/equation-the-death-star-of-malware-galaxy/
Le PDF avec tous les détails techniques passionnants : http://25zbkz3k00wn2tp5092n6di7b5k.wpengine.netdna-cdn.com/files/2015/02/Equation_group_questions_and_answers.pdf

Pour résumer :

• Pour se dissimuler, un des modules va jusqu'à infecter le firmware du disque dur de la victime. La dernière version supporte 12 constructeurs de disques durs différents, et utilise notamment des commandes ATA non-documentées et spécifiques à certains d'entre eux. La plateforme inclut également un bootkit, c'est à dire un module qui s'occupe d'infecter le bootloader (MBR) pour se lancer avant le système d'exploitation, qui est décrit comme très sophistiqué.
  
  
• La famille Equation se compose de divers éléments logiciels et modules, dont la fonction de l'un d'entre eux est uniquement d'évaluer pendant un temps si la cible est suffisamment intéressante, pour ensuite s'autodétruire ou bien télécharger les modules d'espionnage complets appropriés.
  
  
• Parmi les vecteurs d'infection, on a pu observer du code injecté dans un forum en ligne compromis, qui redirigeait certaines cibles très spécifiques vers un kit d'exploitation (décrit p. 23-26 du PDF, avec un extrait du code utilisé avec vBulletin p. 24), voire même au niveau d'une régie publicitaire présente sur des sites populaires au Moyen-Orient. Autre vecteur : l'interception de matériel physique ; un CD-ROM, destiné à un participant d'une conférence scientifique internationale, aurait été intercepté physiquement et infecté avec du code malveillant. Les machines déconnectées d'internet sont également ciblées, avec la création automatique, sur les clés USB, d'une partition cachée qui contient diverses informations collectées sur le système cible, et qui peuvent être lues au contact d'une autre machine infectée.
  
  Le malware aurait été retrouvé dans des ambassades, des organismes diplomatiques, militaires, de recherche, des entreprises aérospatiales, médicales, des opérateurs de télécommunications, des médias... mais aussi chez des individus. Les principales cibles sont le Moyen-Orient et la Russie (voir diagramme p. 20).
  
  
• De nombreuses similitudes avec les malwares Stuxnet, Flame/Gauss et Regin, dont l'attribution à la NSA a été avérée ces derniers mois (pour ceux qui suivent), ont été relevées ; notamment, le partage de plusieurs exploits 0-day, le partage de mécanismes et de code cryptographique proches, et le croisement de diverses cibles (voir diagramme p. 5). De plus, une des chaînes décrivant un module a pu être croisée avec un des documents Snowden publiés dernièrement dans Die Spiegel.
  
  On note que si tout semble mener vers elle, le nom de l'agence de renseignement n'est pas mentionné une seule fois dans les documents (sans doute pour éviter l'incident diplomatique). C'est toujours drôle de voir une société russe s'amuser à sinkholer^[1] les serveurs des services secrets américains

On attend toujours le rootkit qui infectera le microcode CPU...

En attendant, on voit toujours certaines personnes qui pensent que bloquer le port 25 freinera la propagation des malwares...

^[1] Dans le jargon : saisir, désactiver, déconnecter le nom de domaine d'un serveur ou un serveur malveillant.

C'est marrant une compagnie qui marchande un logiciel malevillant en faisant croire que c'est un logiciel contre les logiciels malveillants.

Est-ce que ton message a un rapport avec le sujet, ou bien c'est un grief quelconque par rapport à ton expérience avec Kaspersky (dans quel cas nous ne pouvons pas savoir de quoi il s'agit) ?

Pour revenir au sujet, je suis sceptique sur ce que peut faire le code qui se lance avant le système d'exploitation : il ne peut plus continuer a s’exécuter une fois qu'il a donné la main au système d’exploitation, non ?

Pour revenir au sujet, je suis sceptique sur ce que peut faire le code qui se lance avant le système d'exploitation : il ne peut plus continuer a s’exécuter une fois qu'il a donné la main au système d’exploitation, non ?

Sauf erreur de ma part, c'est pourtant ce que fait truecrypt, lorsque l'on active le chiffrement complet du disque : le mot de passe est demandé au chargement du bootloader, puis le disque est déchiffré à la volée, de façon transparente pour le système d'exploitation.

C'est expliqué page 10:

When the computer starts, GrayFish hijacks the OS loading mechanisms by injecting
its code into the boot record. This allows it to control the launching of Windows
at each stage. In fact, after infection, the computer is not run by itself more: it is
GrayFish that runs it step by step, making the necessary changes on the fly

C'est un peu comme faire tourner Windows dans un débugger donc.

C'est pour diminuer ce risque que les fabricants de PC désactivaient systématiquement la virtualisation Hardware par défaut dans le BIOS ?

Ce n'est plus le cas aujourd'hui, mais pendant des années les PC avec un CPU haut de gamme, qui prenait la virtualisation matérielle, ne pouvait pas l'utiliser sans un passage dans le BIOS.