Blue Pill : un malware 100% indétectable

Joanna Rutkowska qui se spécialise dans les malwares discrets dans la firme Coseinc à Singapour a indiqué que le concept de Blue Pill, son malware imbattable, utilise la technologie de virtualisation Pacifica d' AMD pour créer un compte super-utilisateur qui prend le contrôle complet du système d'exploitation victime.

Rutkowska prévoit de discuter de ceci et de démontrer comment marche son malware prototype lors d'une conférence SyScan à Singapour le 21 juillet prochain et aux Black Hat Briefings de Las Vega le 3 août.

Le chercheur a indiqué que la présentation de son petit bijou concernerait " une méthode générique " pour insérer du code arbitraire dans le kernel de Windows Vista bêta 2 sans profiter d'un quelconque bogue résiduel dans l'OS ( Operating System ).

La technique résiste en effet à la politique anti-rootkit développée par la recherche Microsoft pour Windows Vista et qui requiert notamment une signature certifiée numériquement pour être chargée sur les systèmes x64.

Certes, l'idée de virtualisation n'est pas nouvelle ; Microsoft avait également créé un rootkit basé sur ce principe et dénommé " SubVirt ", qui était quasiment indétectable.

Le chercheur de Coseinc est allé encore plus loin, annonçant que, pour que ce malware soit détecté, la technologie Pacifica d' AMD devra être victime d'une faille.

" La force de Blue Pill est basée sur la technologie de virtualisation. " a t-elle indiqué. De même, Rutkowska affirme que le malware Blue Pill n'est pas lié à un bug de l'OS sous-jacent. " J'ai implémenté un prototype fonctionnant pour Vista x64 mais il n'y a aucune raison pour que cela ne soit pas possible sur d'autres plates-formes x64 comme Linux ou BSD. "

Blue Pill sera développé exclusivement pour Coseinc Research et ne sera pas disponible au téléchargement. Cependant, dans le cadre d'exercices à propos de ce malware ou d'autres technologies, les sources pourront être diffusées.