Rootkit pour infecter les systèmes 64-bit

Le par  |  3 commentaire(s)
Kaspersky-rootkit-64-bits

Kaspersky Lab a détecté un rootkit bancaire conçu afin d'infecter les systèmes Windows 64-bit. Il cible pour le moment des clients de banques en ligne au Brésil.

Kaspersky-rootkit-64-bitsL'éditeur russe de solutions de sécurité annonce avoir détecté un rootkit dont l'une des particularité est d'avoir été conçu dans une version 64 bits. Rappelons qu'un rootkit est un programme malveillant capable de s'exécuter au niveau du noyau d'un système d'exploitation. Il se charge en mémoire au moment du démarrage de l'ordinateur.

En l'occurrence, une applet Java malveillante a été repérée sur des sites Web brésiliens populaires. Cette applet exploite une vulnérabilité dans d'anciennes versions de l'environnement d'exécution Java ( JRE ; Java Runtime Environment ) afin d'infecter des systèmes Windows 32 et 64 bits.

Le code malveillant désactive le contrôle de compte utilisateur ( UAC ) et modifie la base de registre Windows en ajoutant un faux certificat de sécurité. Le fichier Hosts est modifié de manière à rediriger l'utilisateur sur un site de phishing qui grâce au faux certificat paraît sécurisé. Le but est de recueillir des identifiants bancaires.

La modification du fichier Hosts s'opère suite à la copie dans le dossier des pilotes de plusdriver.sys et plusdriver64.sys. Ces derniers sont enregistrés en tant que pilotes actifs au cours du prochain redémarrage. Pour Windows 64 bits, cela nécessite de déjouer la protection du noyau PatchGuard. Pour cela, pas de contournement mais le recours à une signature numérique spéciale utilisée pour les développeurs.

" Le pilote 64 bits porte une sorte de signature numérique de test. Si Windows - Vista ou ultérieur - est amené à démarrer en mode TESTSIGNING ( ndlr : via l'outil Microsoft bcdedit.exe ), des applications peuvent lancer les pilotes comportant ce type de signature. Il s'agit d'une porte d'entrée spéciale de Microsoft pour les développeurs de pilotes afin que ceux-ci puissent tester leurs créations. Des cybercriminels ont mis à profit cette faille qui leur permet de lancer leurs pilotes sans disposer d’une signature légitime "

, explique Alexander Gostev, expert en sécurité chez Kaspersky Lab.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #783611
bonjour,
il faudrait sourcer...
C'est un truc qu'on apprend à l'école de journalisme...
http://www.securelist.com/en/blog/11266/Rootkit_Banker_now_also_to_64_bit

bonne journée !
Le #783661
C'est "sourcé" non ? (le lien dans annonce mène au même que le tient...à moins que sa ait été "sourcé" après....)

Sinon pour la news , bha , vaut mieux se déplacer à la banque directement
Le #783801
lol, les trolls sur la sécurité à la sauce microsoft ont encore de beaux jours devant eux )))

Comme ont dit chez moi, pourquoi tenter d'entrer par la porte quand la "fenêtre"™ est laissée grande ouverte "sur le monde"©
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]