Le rootkit le plus indétectable vient d'être... détecté

Symantec et F-Secure s'accordent à dire qu'une nouvelle génération de rootkits est sur le point de déferler sur nos ordinateurs. Et elle est encore plus furtive que les précédentes...


"Comme le sucre dans le lait chaud..."
Chez Symantec, la nouvelle menace se nomme "Backdoor.Rustock.A", alors que F-Secure l'a baptisée "Mailbot.AZ", mais dans les deux cas il s'agit d'un rootkit, un programme furtif et malicieux qui peut échapper aux antivirus classiques. Selon toute vraisemblance, ce rootkit trouve son origine quelque part en Russie, où les ateliers de fabrication de virus en tous genres font florès, mais F-Secure assure que la dernière version (build 2.2.1041) de son logiciel BlackLight est capable de débusquer l'importun, qui, comme ses congénères, peut s'immiscer dans le noyau de Windows et en contrôler certaines fonctions à l'insu de l'utilisateur. Toujours plus sophistiqués, ces programmes sont même capables de rechercher la présence de programmes anti-rootkit sur votre disque dur, et de modifier leur stratégie de fonctionnement afin d'échapper aux tentitves de détection. A l'image du fameux Boson de Higgs, on sait que ce rootkit existe, mais parvenir à le prendre en "photo" relève de l'exploit.

Symantec, qui a récemment tenu des déclarations peu amène à l'égard du niveau de sécurité de Windows Vista, a également ajouté que ce rootkit "fonctionnait très bien" sur un très récente "build" de la dernière bêta publiée par Microsoft, et enjoint les développeurs à faire preuve de vigilance.