Nouvelles menaces, les rootkits

13. Nouvelles menaces, les “rootkits”
Le monde virtuel ( Internet ) n’arrête pas de nous étonner, pour le
meilleur et pour le pire. Surtout les malware ( virus, ver, troyen, etc. )
poussent comme des champignons. La créativité des programmeurs
de ces codes malicieux semble illimitée.
Une nouvelle sorte de ces malware est apparue : les “rootkits” !
C’EST QUOI LES “ROOTKITS“ ?
Les “rootkits” sont bien connus depuis des années dans le monde
de “Unix®” et de “Linux®” et font leur apparition officielle dans le
monde de “Windows®” depuis mi-février 2005, selon un communi-
qué officiel de Microsoft® et de la “RSA Security”.
Ils s’intègrent en principe directement dans le cœur de Windows®,
dans le “kernel” 1 et ils se font passer comme étant des processus et
services de Windows®. Même les scanneurs de malware ( antivirus,
antitroyen, etc. ), ainsi que les “firewall” 2 ( pare-feu ) n’arrivent pas
à détecter ces bestioles informatiques, dû au fait qu’ils ont dével-
oppé une certaine intelligence.
Ils sont capables de se faire passer pour un service légitime de
Windows® et de cette façon ils échappent au scan des anti-virus et
des firewall !
Ils s’activent automatiquement dès démarrage de votre ordinateur.
Leur rôle principal consiste à ne pas se faire révéler !
Ils se camouflent comme “drivers”, processus et services légitimes
de Windows®, se cachent dans des endroits de la base des registres
1 Coeur du processeur
sans se faire remarquer ! Même étant détectés et éradiqués, ils
2
ressuscitent et se reproduisent à nouveau !
Portier qui contrôle
le trafic informatique
QUEL EST LE BUT DE CES “ROOTKITS” ?
entrant et sortant
3 Un mixage de troyens,
Leur but est bien de nature lucrative ! Cette nouvelle sorte de malware
backdoor, keylogger,
ne veut rien d’autre que les autres malware aussi, profiter de la
etc.
naïveté ( non connaissance des risques de sécurité ) des internautes !
4 Logiciel ouvrant des
ports de communication
En principe les “rootkits” peuvent être classés dans la catégorie
5 Logiciel enregistrant les
“blended threats” 3, une combinaison de “troyens” plus “backdoor” 4
frappes de clavier
et “keylogger” 5.
6 A squared est un anti-
Seule différence avec les autres malware, ils ont été programmés
troyen, anti-dialer et
soigneusement pour ne pas être détectés !
anti-malware http://
www.emsisoft.net
Ceci nous montre bel et bien, qu’il y a des professionnels cachés
7 I.D.S. = Intrusion
derrière cette nouvelle menace, la mafia informatique, des groupes
Detection System
de criminels bien organisés !

---

La priorité des programmeurs des “rootkits” est de ne pas se faire repérer, une sorte de code éthique !
Ces programmes ( logiciels et scripts ) peuvent “dormir” et attendre jusqu’à ce qu’ils soient “réveillés”
par leur programmeur pour envoyer toutes vos données secrètes à leur ( s ) programmeur ( s ) !
De cette façon, ces malfaiteurs auront accès à vos comptes bancaires et à toutes vos transactions faites
par Internet !
COMMENT NOUS PROTÉGER ET AVEC QUOI ?
La seule chose que nous pouvons faire est de nous munir d’un anti-virus, d’un firewall et d’être à jour
avec les updates ( patches / mises à jour ) de notre système d’exploitation ( Windows®, Mac® OS, Linux® ) !
Un logiciel ( programme ) anti-troyen comme “a2” de chez “Emsisoft” http://www.emsisoft.net est forte-
ment à recommander !
Ce logiciel en version payante de 39,95 € est pourvu d’un “IDS”. Un “IDS” surveille tous les pro-
cessus dans le système d’exploitation. Le gardien d’arrière-plan de a-squared empêche et bloque les
fichiers dangereux d’arriver sur votre ordinateur bien avant qu’ils ne deviennent actifs. Pour cela, il
utilise une nouvelle technique et unique dans le monde entier qui s’appelle “analyse du comportement
des programmes” ( IDS ) qui vous donne immédiatement une alarme, aussitôt qu’un programme démarré
fait quelque chose de dangereux.
COMPORTEMENT DE L’ANALYSE
Contrairement aux heuristiques traditionnelles, qui recherchent des
Selon le magazine infor-
fichiers contenant des routines nuisibles sur le disque dur et qui
matique professionnel
fournissent une analyse approximative, si un fichier est dangereux ou
allemand “COM!”, édition
non, a² lui surveille directement le comportement des programmes
06 / 2005, page 8, http://
actifs dans le système.
www.com-magazin.de,
Que détecte-t-il?
il existe des logiciels
( programmes ) qui
a-squared est actuellement entraîné pour trouver les types de mal-
détectent ces “rootkits”.
wares suivants:
Il s’agit de deux
• Vers, Emails
logiciels”:
• Backdoors ( Porte dérobée )
• Backdoors avec Reversed Connection Logic ( LAN Bypass )
1. Strider Ghostbuster
• Spywares / Adwares
de Microsoft®
• HiJackers
http://research.micro-
• Dialers
soft.com/rootkit/
• Rootkits
2. Rootkit-revealer de
Sysinternals™
Fonctionnement de l’ “IDS” à l’adresse suivante :
http://www.sysinternals.
http://www.emsisoft.net/fr/software/ids/
com/ntw2k/freeware/
rootkitreveal.shtml
Pour l’instant ( 04.05.2005 ) il n’existe pas de programmes ( logiciels )
Malheureusement ces
qui puissent être capables de détecter et d’éradiquer ces bestioles
deux logiciels arrivent à
informatiques.
détecter ces “rootkits“,
mais sont incapables de
Si jamais vous avez attrapé un de ces “rootkits” il ne vous reste rien
les éradiquer !
d’autre à faire que de réinstaller votre système d’exploitation !
www.cte.lu
www.myschool.lu
www.mysecureit.lu
www.etwinning.lu
s
my
ch
l
Copyight © 2005, www.mySchool.lu
Tous droits réservés. Ce document est la propriété de mySchool! (CTE) et peut être reproduit pourvu qu’aucune modification ne soit effectuée et que cette notice soit préservée.
Les informations véhiculées par la présente fiche le sont dans l’espoir qu’elles seront utiles. La responsabilité des auteurs ne pourra être engagée à aucun moment.

---