L'éditeur russe de solutions de sécurité annonce avoir détecté un rootkit dont l'une des particularité est d'avoir été conçu dans une version 64 bits. Rappelons qu'un rootkit est un programme malveillant capable de s'exécuter au niveau du noyau d'un système d'exploitation. Il se charge en mémoire au moment du démarrage de l'ordinateur.
En l'occurrence, une applet Java malveillante a été repérée sur des sites Web brésiliens populaires. Cette applet exploite une vulnérabilité dans d'anciennes versions de l'environnement d'exécution Java ( JRE ; Java Runtime Environment ) afin d'infecter des systèmes Windows 32 et 64 bits.
Le code malveillant désactive le contrôle de compte utilisateur ( UAC ) et modifie la base de registre Windows en ajoutant un faux certificat de sécurité. Le fichier Hosts est modifié de manière à rediriger l'utilisateur sur un site de phishing qui grâce au faux certificat paraît sécurisé. Le but est de recueillir des identifiants bancaires.
La modification du fichier Hosts s'opère suite à la copie dans le dossier des pilotes de plusdriver.sys et plusdriver64.sys. Ces derniers sont enregistrés en tant que pilotes actifs au cours du prochain redémarrage. Pour Windows 64 bits, cela nécessite de déjouer la protection du noyau PatchGuard. Pour cela, pas de contournement mais le recours à une signature numérique spéciale utilisée pour les développeurs.
" Le pilote 64 bits porte une sorte de signature numérique de test. Si Windows - Vista ou ultérieur - est amené à démarrer en mode TESTSIGNING ( ndlr : via l'outil Microsoft bcdedit.exe ), des applications peuvent lancer les pilotes comportant ce type de signature. Il s'agit d'une porte d'entrée spéciale de Microsoft pour les développeurs de pilotes afin que ceux-ci puissent tester leurs créations. Des cybercriminels ont mis à profit cette faille qui leur permet de lancer leurs pilotes sans disposer d’une signature légitime "
, explique Alexander Gostev, expert en sécurité chez Kaspersky Lab.
