Qu'est-ce que le rootkit? Comment fonctionnent les rootkits? Les rootkits expliqués.

Bien qu'il soit possible de masquer les logiciels malveillants d'une manière qui trompera même les produits antivirus/anti-logiciels espions traditionnels, la plupart des programmes malveillants utilisent déjà des rootkits pour se cacher profondément sur votre PC Windows… et ils deviennent de plus en plus dangereux! Le rootkit DL3 est l'un des rootkits les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter les systèmes d'exploitation Windows 32 bits ; bien que des droits d'administrateur soient nécessaires pour installer l'infection dans le système. Mais TDL3 a maintenant été mis à jour et est maintenant capable d'infecter même les versions 64 bits Windows!

Qu'est-ce que le rootkit

Un virus Rootkit est un type de malware furtif conçu pour masquer l'existence de certains processus ou programmes sur votre ordinateur aux méthodes de détection habituelles, afin de lui permettre ou à un autre processus malveillant un accès privilégié à votre ordinateur.

Rootkits pour Windows sont généralement utilisés pour masquer les logiciels malveillants, par exemple, un programme antivirus. Il est utilisé à des fins malveillantes par des virus, des vers, des portes dérobées et des logiciels espions. Un virus combiné à un rootkit produit ce que l'on appelle des virus furtifs complets. Les rootkits sont plus courants dans le domaine des logiciels espions, et ils sont également de plus en plus utilisés par les auteurs de virus.

Ils sont maintenant un type émergent de Super Spyware qui se cache efficacement et affecte directement le noyau du système d'exploitation. Ils sont utilisés pour masquer la présence d'objets malveillants comme des chevaux de Troie ou des enregistreurs de frappe sur votre ordinateur. Si une menace utilise la technologie rootkit pour se cacher, il est très difficile de trouver le malware sur votre PC.

Les rootkits en eux-mêmes ne sont pas dangereux. Leur seul but est de cacher les logiciels et les traces laissées dans le système d'exploitation. Qu'il s'agisse de logiciels normaux ou de programmes malveillants.

Il existe essentiellement trois types différents de Rootkit. Le premier type, le "Rootkits du noyau" ajoutent généralement leur propre code à des parties du noyau du système d'exploitation, tandis que le second type, le "Rootkits en mode utilisateur” sont spécialement destinés à Windows pour démarrer normalement lors du démarrage du système, ou injectés dans le système par un soi-disant « compte-gouttes ». Le troisième type est Rootkits ou bootkits MBR.

Lorsque vous constatez que votre AntiVirus & AntiSpyware échoue, vous devrez peut-être demander l'aide d'un bon utilitaire anti-rootkit. RootkitRevealer de Microsoft Sysinternes est un utilitaire de détection de rootkit avancé. Sa sortie répertorie les divergences de l'API du registre et du système de fichiers qui peuvent indiquer la présence d'un rootkit en mode utilisateur ou en mode noyau.

Rapport sur les menaces Microsoft Malware Protection Center sur les rootkits

Microsoft Malware Protection Center a mis à disposition au téléchargement son rapport sur les menaces sur les rootkits. Le rapport examine l'un des types de logiciels malveillants les plus insidieux qui menacent les organisations et les individus aujourd'hui - le rootkit. Le rapport examine comment les attaquants utilisent les rootkits et comment les rootkits fonctionnent sur les ordinateurs concernés. Voici un aperçu du rapport, en commençant par ce que sont les rootkits - pour le débutant.

Rootkit est un ensemble d'outils qu'un attaquant ou un créateur de malware utilise pour prendre le contrôle de tout système exposé/non sécurisé qui est normalement réservé à un administrateur système. Ces dernières années, le terme « ROOTKIT » ou « FONCTIONNALITÉ ROOTKIT » a été remplacé par MALWARE - un programme conçu pour avoir des effets indésirables sur un ordinateur sain. La fonction principale des logiciels malveillants est de retirer secrètement des données précieuses et d'autres ressources de l'ordinateur d'un utilisateur et de les fournir à l'attaquant, lui donnant ainsi un contrôle total sur l'ordinateur compromis. De plus, ils sont difficiles à détecter et à supprimer et peuvent rester cachés pendant de longues périodes, voire des années, s'ils passent inaperçus.

Alors naturellement, les symptômes d'un ordinateur compromis doivent être masqués et pris en considération avant que l'issue ne s'avère fatale. En particulier, des mesures de sécurité plus strictes devraient être prises pour découvrir l'attaque. Mais, comme mentionné, une fois ces rootkits/programmes malveillants installés, ses capacités furtives rendent difficile sa suppression ainsi que ses composants qu'il pourrait télécharger. Pour cette raison, Microsoft a créé un rapport sur les ROOTKITS.

Le rapport de 16 pages décrit comment un attaquant utilise les rootkits et comment ces rootkits fonctionnent sur les ordinateurs affectés.

Le seul objectif du rapport est d'identifier et d'examiner de près les logiciels malveillants puissants menaçant de nombreuses organisations, en particulier les utilisateurs d'ordinateurs. Il mentionne également certaines des familles de logiciels malveillants les plus répandues et met en lumière la méthode utilisée par les attaquants pour installer ces rootkits à leurs propres fins égoïstes sur des systèmes sains. Dans le reste du rapport, vous trouverez des experts faisant des recommandations pour aider les utilisateurs à atténuer la menace des rootkits.

Types de rootkits

Il existe de nombreux endroits où les logiciels malveillants peuvent s'installer dans un système d'exploitation. Ainsi, la plupart du temps, le type de rootkit est déterminé par son emplacement où il effectue sa subversion du chemin d'exécution. Ceci comprend:

1. Rootkits en mode utilisateur
2. Rootkits en mode noyau
3. MBR Rootkits/bootkits

L'effet possible d'un compromis de rootkit en mode noyau est illustré via une capture d'écran ci-dessous.

Le troisième type, modifie le Master Boot Record pour prendre le contrôle du système et démarrer le processus de chargement le plus tôt possible dans la séquence de démarrage3. Il cache les fichiers, les modifications du registre, les preuves de connexions réseau ainsi que d'autres indicateurs possibles pouvant indiquer sa présence.

Familles de logiciels malveillants notables qui utilisent la fonctionnalité Rootkit

• Win32/Sinowal13 - Une famille de logiciels malveillants à plusieurs composants qui essaie de voler des données sensibles telles que les noms d'utilisateur et les mots de passe pour différents systèmes. Cela inclut la tentative de voler les détails d'authentification pour une variété de comptes FTP, HTTP et de messagerie, ainsi que les informations d'identification utilisées pour les transactions bancaires en ligne et autres transactions financières.
• Win32/Cutwail15 - Un cheval de Troie qui télécharge et exécute des fichiers arbitraires. Les fichiers téléchargés peuvent être exécutés à partir du disque ou injectés directement dans d'autres processus. Bien que la fonctionnalité des fichiers téléchargés soit variable, Cutwail télécharge généralement d'autres composants qui envoient du spam. Il utilise un rootkit en mode noyau et installe plusieurs pilotes de périphérique pour masquer ses composants aux utilisateurs concernés.
• Win32/Rustock - Une famille à plusieurs composants de chevaux de Troie de porte dérobée prenant en charge les rootkits, initialement développée pour faciliter la distribution d'e-mails « spam » via un botnet. Un botnet est un vaste réseau d'ordinateurs compromis contrôlé par un attaquant.

Protection contre les rootkits

Empêcher l'installation de rootkits est la méthode la plus efficace pour éviter l'infection par les rootkits. Pour cela, il est nécessaire d'investir dans des technologies de protection telles que des produits anti-virus et pare-feu. Ces produits doivent adopter une approche globale de la protection en utilisant la détection traditionnelle basée sur les signatures, la détection heuristique, la capacité de signature dynamique et réactive et la surveillance du comportement.

Tous ces ensembles de signatures doivent être tenus à jour à l'aide d'un mécanisme de mise à jour automatisé. Les solutions antivirus de Microsoft incluent un certain nombre de technologies conçues spécifiquement pour atténuer les rootkits, y compris la surveillance du comportement du noyau en direct qui détecte et signale les tentatives de modification du noyau d'un système affecté, et l'analyse directe du système de fichiers qui facilite l'identification et la suppression des pilotes cachés.

Si un système est trouvé compromis, un outil supplémentaire qui vous permet de démarrer dans un environnement connu ou de confiance peut s'avérer utile car il peut suggérer des mesures correctives appropriées.

Dans de telles circonstances,

1. L'outil Standalone System Sweeper (qui fait partie de Microsoft Diagnostics and Recovery Toolset (DaRT)
2. Windows Defender Offline peut être utile.

Pour plus d'informations, vous pouvez télécharger le rapport PDF à partir du Centre de téléchargement Microsoft.