Les rootkits s'immiscent dans les virus

Le par  |  13 commentaire(s) Source : eWeek
Rootkit

Ces derniers temps, les rootkits ont défrayé la chronique avec l'affaire de Sony.

Ces derniers temps, les rootkits ont défrayé la chronique avec l'affaire de Sony. Aujourd'hui, ils reviennent sur le devant de la scène, suite à la découverte faite par la firme F-Secure.

RootkitVirusQue des virus utilisent également les rootkits n'était qu'une question de temps. Et ce temps est arrivé.

Selon F-Secure, la dernière variante Bagle.GE chargerait un pilote en mode noyau permettant de cacher aux logiciels de protection ses processus ainsi que ses clés dans la base de registre.

L'utilisation de rootkits dans des virus existants montre la ténacité des développeurs malfaisants à contourner les solutions antivirus existantes et à maintenir une présence indétectable sur les machines infectées.

Dans le cas du rootkit de Bagle.GE, Jarkko Turkulainen, chercheur chez F-Secure, annonce que le rootkit cache efficacement ses processus, ses fichiers et répertoires, ses clés dans la base de registre, et contient du code empêchant les processus de certains logiciels de protection de s'exécuter. Il contient également des commandes pouvant désactiver les antivirus.

En bref, ce rootkit fait tout pour que le virus passe inaperçu et puisse donc faire sa coupable besogne tranquillement.

La société Panda Software a quant à elle affirmé avoir déjà trouvé trois variantes de Bagle contenant un rootkit et avertit qu'il est fort probable que de nouveaux spécimens voient le jour rapidement, d'autant plus que l'ajout d'un rootkit dans un virus existant est relativement simple ( surtout quand il est possible d'acheter des rootkits sur le Net )

Un autre virus contenant un rootkit a également été découvert par F-Secure. Il s'agit de Gurong.A, nouveau virus basé sur le code de Mydoom. La partie rootkit fonctionne de la même façon que celui de Bagle.GE. Quant à sa méthode de propagation, elle est basée sur le social engineering par e-mail et se répand également via les répertoires partagés dans Kazaa.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #97676
Mais y a personne qui va l'abattre ce Kazaa '
Le #97678
la question serait plutot : est ce que les antivirus suffisent pour détecter les rootkits '
de meme avec les antispywares et firewall materiel et logiciel...
Je connais deja rootkitreveler et blacklight.
M'empeche que ca ne me rassure pas quand même...
Le #97681
@ ô_Ô : où as-tu vu KaZaa dans l'article '

@ hypnos.hyunkel : c'est clair que cela ne rassure pas.

Au-delà de savoir si les antivirus suffisent ou non, il est une phase critique pendant laquelle les virii peuvent s'en donner à coeur joie : lors des mises à jour de Windows. Sachant que les éditeurs de solutions antivirales ne garantissent la protection QUE si Windows est à jour, ça craint un maximum...

Bien que je sois contre actuellement (car utilisateur de Linux tout autant que Windows), je commence de plus en plus à penser que la stratégie adoptée par Microsoft avec Paladium sera au final une meilleure solution que de laisser la sécurité au seul couple antivirus/parefeu.

L'avenir nous dira ce qu'il en sera...


Le #97683
gcore : dernière ligne de l'article pour KaZaa...
Le #97684
comme quoi l'idée de rendre obligatoire la signature du code s'executant en mode noyau sous vista 64bits est plutot une bonne idée...

en attendant mieux vaut éviter de fonctionner en compte administrateur, ou à defaut utiliser DropMyRights pour réduire les privilèges des applications à risque...
Le #97692
Il fallait bien qu'un jour cela arrive, ne jouons pas les etonnés comme le signale le debut de l'article.(je suis plutot surpris par l'attentisme des editeurs d'antivirus sur ce probleme; observer c'est bien, anticiper c'est mieux...)

juste pour infos, panda donne toujours autant d'argents a l'eglise de scientologie '
Le #97709
"juste pour infos, panda donne toujours autant d'argents a l'eglise de scientologie '" hors sujet.
Le #97726
Les pirates en rêvaient, Sony la fait...


Le #97730
@ altheos : oups. Bien vu.
Le #97760
Ghunter
"Les pirates en rêvaient, Sony la fait..."
+1

Par contre je suis fondamentalement opposé à la signature numerique des processus. Ca pourrai avoir de très graves consequences sur nos libertés... D'autres solutions sont possibles.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]