Blue Pill : un malware 100% indétectable

Le par  |  25 commentaire(s)

Joanna Rutkowska qui se spécialise dans les malwares discrets dans la firme Coseinc à Singapour a indiqué que le concept de Blue Pill, son malware imbattable, utilise la technologie de virtualisation Pacifica d' AMD pour créer un compte super-utilisateur qui prend le contrôle complet du système d'exploitation victime.

Joanna Rutkowska qui se spécialise dans les malwares discrets dans la firme Coseinc à Singapour a indiqué que le concept de Blue Pill, son malware imbattable, utilise la technologie de virtualisation Pacifica d' AMD pour créer un compte super-utilisateur qui prend le contrôle complet du système d'exploitation victime.

Rutkowska prévoit de discuter de ceci et de démontrer comment marche son malware prototype lors d'une conférence SyScan à Singapour le 21 juillet prochain et aux Black Hat Briefings de Las Vega le 3 août.

Le chercheur a indiqué que la présentation de son petit bijou concernerait " une méthode générique " pour insérer du code arbitraire dans le kernel de Windows Vista bêta 2 sans profiter d'un quelconque bogue résiduel dans l'OS ( Operating System ).

La technique résiste en effet à la politique anti-rootkit développée par la recherche Microsoft pour Windows Vista et qui requiert notamment une signature certifiée numériquement pour être chargée sur les systèmes x64.

Certes, l'idée de virtualisation n'est pas nouvelle ; Microsoft avait également créé un rootkit basé sur ce principe et dénommé " SubVirt ", qui était quasiment indétectable.

Le chercheur de Coseinc est allé encore plus loin, annonçant que, pour que ce malware soit détecté, la technologie Pacifica d' AMD devra être victime d'une faille.

" La force de Blue Pill est basée sur la technologie de virtualisation. " a t-elle indiqué. De même, Rutkowska affirme que le malware Blue Pill n'est pas lié à un bug de l'OS sous-jacent. " J'ai implémenté un prototype fonctionnant pour Vista x64 mais il n'y a aucune raison pour que cela ne soit pas possible sur d'autres plates-formes x64 comme Linux ou BSD. "

Blue Pill sera développé exclusivement pour Coseinc Research et ne sera pas disponible au téléchargement. Cependant, dans le cadre d'exercices à propos de ce malware ou d'autres technologies, les sources pourront être diffusées.

Complément d'information

Vos commentaires Page 1 / 3

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #117145
stupide ou gros bifton à l'horizon '
Le #117147
, mais mdr, la technologie anti rootkit qui permet d'en creer un parfait
Le #117148
N'importe quoi!!
S'ils diffusent le code source sur le net, on est pas dans la merde nous!!
moi je dis
Le #117150
Je n'y connais rien; mais je me doute que s'ils diffusent ce truc sur le net, quelqu'un d'autre pourra le refaire sans problème... ne vaut-il mieux pas qu'ils trouvent la parade avant de le diffuser '
Le #117152
La fin du monde est proche!! une conscience unique qui va se répandre dans toute une génération de machine!

J'ai peuuuuure!
Le #117153
ca sera diffusé a la DEFCON de toute facon <img src="/img/emo/cool.gif" alt="8:" />
Le #117155
Si ils le diffusent y'en aura au moins un qui va l'utiliser contre eux
Le Vendangeur Masqué Hors ligne Vétéran 2082 points
Le #117159

freeman



Tout comme Paladium (maintenant NSGBD chépukoi), pourrait être utilisé par un virus pour bloquer l'ordinateur et empêcher toute tentative d'éradication.

C'est beau l'informatique sans intelligence.
Le #117164
Est-ce que les processeurs Intel seraient concernés '

Et il serait vraiment étonnant que le rootkit soit vraiment totalement indétectable.

Enfin, on verra bien.

Devinez pourquoi je reste avec du matos Intel, finalement
Le #117166
@Cleaner1974 : ça ne marche qu'avec les procs AMD parce que ce sont les seuls en 64bits (je parle de procs grand public) avec une techno de virtualisation... Intel n'a pas évité l'éceuil, ils ne sont simplement pas sur ce marché
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]