Ces derniers temps, les rootkits ont défrayé la chronique avec l'affaire de Sony. Aujourd'hui, ils reviennent sur le devant de la scène, suite à la découverte faite par la firme F-Secure.
Que des virus utilisent également les rootkits n'était
qu'une question de temps. Et ce temps est arrivé.
Selon F-Secure, la dernière variante Bagle.GE chargerait un pilote en mode noyau permettant de cacher aux logiciels de protection ses processus ainsi que ses clés dans la base de registre.
L'utilisation de rootkits dans des virus existants montre la ténacité des développeurs malfaisants à contourner les solutions antivirus existantes et à maintenir une présence indétectable sur les machines infectées.
Dans le cas du rootkit de Bagle.GE, Jarkko Turkulainen, chercheur chez F-Secure, annonce que le rootkit cache efficacement ses processus, ses fichiers et répertoires, ses clés dans la base de registre, et contient du code empêchant les processus de certains logiciels de protection de s'exécuter. Il contient également des commandes pouvant désactiver les antivirus.
En bref, ce rootkit fait tout pour que le virus passe inaperçu et puisse donc faire sa coupable besogne tranquillement.
La société Panda Software a quant à elle affirmé avoir déjà trouvé trois variantes de Bagle contenant un rootkit et avertit qu'il est fort probable que de nouveaux spécimens voient le jour rapidement, d'autant plus que l'ajout d'un rootkit dans un virus existant est relativement simple ( surtout quand il est possible d'acheter des rootkits sur le Net )
Un autre virus contenant un rootkit a également été découvert par F-Secure. Il s'agit de Gurong.A, nouveau virus basé sur le code de Mydoom. La partie rootkit fonctionne de la même façon que celui de Bagle.GE. Quant à sa méthode de propagation, elle est basée sur le social engineering par e-mail et se répand également via les répertoires partagés dans Kazaa.
