Comme signalé dans l'article, rien de neuf sous le soleil ;)
Certains spywares, notamment CWS utilisent déjà un rootkit dans certaines versions.
C'est assez "tendance" en effet. Je me demande dans quelle mesure ce battage est étranger aux divers achats de MS dans le domaine de la sécurité et des futures solutions qu'il commercialisera dans un avenir relativement proche.
Ce n'est pas du FUD mais ça y ressemble, même si le danger est bien réel, si la station de travail est protégée par un FW et l'OS à jour, installer un rootkit nécessite une action volontaire de l'utilisateur en cliquant sur un PE. Il en va comme des autres malwares : si la sig est présente dans la DB de l'AV/AT/AS monitorant IRT, il ne s'installera pas. Ça dépend avant tout de la réactivité des AVers. De même qu'il y a un moment on a fait tout un plat des ADS utilisables dans des virus : certains vers/virus utilisent des ADS, ils sont parfaitement repérés par les AV. Par contre, on parle très peu de la facilité déconcertante qu'il y a à berner tous les AV/AT pour éviter la détection d'un trojan backdoor simplement en utilisant un runtime packer exotique (créer son propre runtime packer est très simple également) après l'avoir décompacté... (la plupart des AV, sauf KAV qui est capable d'interprêter plus de 600 packers différents, les AV au mieux spont capables dans traiter quelques uns : UPX, AsPack, FSG, Petite, Neolite, ExeStealth, yoda's Crypter, PECompact, Pklite, Lzexe, Diet, Exepack, CPAV) . D'où l'utilité d'utiliser un bloqueur en complément d'un AV/AT.
C'est avant toute chose une question de Safehex.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
Comme signalé dans l'article, rien de neuf sous le soleil ;)
Certains spywares, notamment CWS utilisent déjà un rootkit dans
certaines versions.
C'est assez "tendance" en effet. Je me demande dans quelle mesure ce
battage est étranger aux divers achats de MS dans le domaine de la
sécurité et des futures solutions qu'il commercialisera dans un avenir
relativement proche.
Ce n'est pas du FUD mais ça y ressemble, même si le danger est bien
réel, si la station de travail est protégée par un FW et l'OS à jour,
installer un rootkit nécessite une action volontaire de l'utilisateur
en cliquant sur un PE. Il en va comme des autres malwares : si la sig
est présente dans la DB de l'AV/AT/AS monitorant IRT, il ne
s'installera pas. Ça dépend avant tout de la réactivité des AVers. De
même qu'il y a un moment on a fait tout un plat des ADS utilisables
dans des virus : certains vers/virus utilisent des ADS, ils sont
parfaitement repérés par les AV.
Par contre, on parle très peu de la facilité déconcertante qu'il y a à
berner tous les AV/AT pour éviter la détection d'un trojan backdoor
simplement en utilisant un runtime packer exotique (créer son propre
runtime packer est très simple également) après l'avoir décompacté...
(la plupart des AV, sauf KAV qui est capable d'interprêter plus de 600
packers différents, les AV au mieux spont capables dans traiter
quelques uns : UPX, AsPack, FSG, Petite, Neolite, ExeStealth, yoda's
Crypter, PECompact, Pklite, Lzexe, Diet, Exepack, CPAV) . D'où
l'utilité d'utiliser un bloqueur en complément d'un AV/AT.
C'est avant toute chose une question de Safehex.
--
http://www.optimix.be.tf MVP Windows Security
http://websecurite.org
http://www.msmvps.com/XPditif/
http://experts.microsoft.fr/longhorn4u/
Helping you void your warranty since 2000
---**ANTISPAM**---
Click on the link to answer -Cliquez sur le lien pour répondre
http://www.cerbermail.com/?csaLJS6yvZ
@(0)@ JacK
Comme signalé dans l'article, rien de neuf sous le soleil ;)
Certains spywares, notamment CWS utilisent déjà un rootkit dans certaines versions.
C'est assez "tendance" en effet. Je me demande dans quelle mesure ce battage est étranger aux divers achats de MS dans le domaine de la sécurité et des futures solutions qu'il commercialisera dans un avenir relativement proche.
Ce n'est pas du FUD mais ça y ressemble, même si le danger est bien réel, si la station de travail est protégée par un FW et l'OS à jour, installer un rootkit nécessite une action volontaire de l'utilisateur en cliquant sur un PE. Il en va comme des autres malwares : si la sig est présente dans la DB de l'AV/AT/AS monitorant IRT, il ne s'installera pas. Ça dépend avant tout de la réactivité des AVers. De même qu'il y a un moment on a fait tout un plat des ADS utilisables dans des virus : certains vers/virus utilisent des ADS, ils sont parfaitement repérés par les AV. Par contre, on parle très peu de la facilité déconcertante qu'il y a à berner tous les AV/AT pour éviter la détection d'un trojan backdoor simplement en utilisant un runtime packer exotique (créer son propre runtime packer est très simple également) après l'avoir décompacté... (la plupart des AV, sauf KAV qui est capable d'interprêter plus de 600 packers différents, les AV au mieux spont capables dans traiter quelques uns : UPX, AsPack, FSG, Petite, Neolite, ExeStealth, yoda's Crypter, PECompact, Pklite, Lzexe, Diet, Exepack, CPAV) . D'où l'utilité d'utiliser un bloqueur en complément d'un AV/AT.
C'est avant toute chose une question de Safehex.
-- http://www.optimix.be.tf MVP Windows Security http://websecurite.org http://www.msmvps.com/XPditif/ http://experts.microsoft.fr/longhorn4u/ Helping you void your warranty since 2000 ---**ANTISPAM**--- Click on the link to answer -Cliquez sur le lien pour répondre http://www.cerbermail.com/?csaLJS6yvZ @(0)@ JacK
