Qu'est-ce que Rootkit? Comment fonctionnent les rootkits? Explication des rootkits.

Cet article explique ce qu'est un virus Rootkit, comment fonctionnent les rootkits et les types de rootkits dans Windows - Rootkits en mode noyau et utilisateur. Bootkit vs Rootkit expliqué.

Bien qu'il soit possible de cacher les logiciels malveillants d'une manière qui trompera même les produits antivirus / antispyware traditionnels, la plupart des programmes malveillants utilisent déjà des rootkits pour se cacher profondément sur votre PC Windows… et ils deviennent de plus en plus dangereux! le Rootkit DL3 est l'un des rootkits les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter les systèmes d'exploitation Windows 32 bits; bien que des droits d'administrateur soient nécessaires pour installer l'infection dans le système. Mais TDL3 a maintenant été mis à jour et est maintenant capable d'infecter même les versions 64 bits de Windows !

Qu'est-ce que Rootkit

virus



Un virus Rootkit est une furtivité type de malware qui est conçu pour masquer l'existence de certains processus ou programmes sur votre ordinateur des méthodes de détection habituelles, afin de lui permettre, ou à un autre processus malveillant, un accès privilégié à votre ordinateur.

Rootkits pour Windows sont généralement utilisés pour masquer des logiciels malveillants, par exemple à un programme antivirus. Il est utilisé à des fins malveillantes par des virus, des vers, des portes dérobées et des logiciels espions. Un virus combiné à un rootkit produit ce que l'on appelle des virus furtifs complets. Les rootkits sont plus courants dans le domaine des logiciels espions, et ils sont également de plus en plus couramment utilisés par les auteurs de virus.

Ils sont maintenant un type émergent de Super Spyware qui se cachent efficacement et impactent directement le noyau du système d'exploitation. Ils sont utilisés pour masquer la présence d'un objet malveillant comme des chevaux de Troie ou des enregistreurs de frappe sur votre ordinateur. Si une menace utilise la technologie de rootkit pour se cacher, il est très difficile de trouver le malware sur votre PC.

Les rootkits en eux-mêmes ne sont pas dangereux. Leur seul but est de cacher les logiciels et les traces laissées dans le système d'exploitation. Qu'il s'agisse de logiciels normaux ou de programmes malveillants.

Il existe essentiellement trois types différents de Rootkit. Le premier type, le ' Rootkits du noyau 'Ajoutent généralement leur propre code à des parties du cœur du système d'exploitation, tandis que le second type, le' Rootkits en mode utilisateur »Sont spécialement destinés à Windows pour démarrer normalement pendant le démarrage du système, ou injectés dans le système par un soi-disant« Dropper ». Le troisième type est Rootkits ou Bootkits MBR .

Lorsque vous constatez que votre AntiVirus et AntiSpyware échoue, vous devrez peut-être prendre l'aide d'un bon utilitaire anti-rootkit . RootkitRevealer de Microsoft Sysinternals est un utilitaire avancé de détection de rootkit. Sa sortie répertorie les divergences d'API du registre et du système de fichiers qui peuvent indiquer la présence d'un rootkit en mode utilisateur ou en mode noyau.

Rapport sur les menaces du Microsoft Malware Protection Center sur les rootkits

Microsoft Malware Protection Center a mis à disposition pour téléchargement son rapport sur les menaces sur les rootkits. Le rapport examine l'un des types les plus insidieux de logiciels malveillants menaçant les organisations et les individus aujourd'hui: le rootkit. Le rapport examine comment les attaquants utilisent les rootkits et comment les rootkits fonctionnent sur les ordinateurs affectés. Voici l'essentiel du rapport, en commençant par ce que sont les rootkits - pour le débutant.

Rootkit est un ensemble d'outils qu'un attaquant ou un créateur de malware utilise pour prendre le contrôle de tout système exposé / non sécurisé qui est normalement réservé à un administrateur système. Ces dernières années, le terme «ROOTKIT» ou «ROOTKIT FUNCTIONALITY» a été remplacé par MALWARE - un programme conçu pour avoir des effets indésirables sur un ordinateur sain. La fonction principale du logiciel malveillant est de retirer secrètement des données précieuses et d’autres ressources de l’ordinateur d’un utilisateur et de les fournir à l’attaquant, lui donnant ainsi un contrôle total sur l’ordinateur compromis. De plus, ils sont difficiles à détecter et à éliminer et peuvent rester cachés pendant de longues périodes, voire des années, s'ils passent inaperçus.

Alors naturellement, les symptômes d'un ordinateur compromis doivent être masqués et pris en compte avant que le résultat ne se révèle fatal. En particulier, des mesures de sécurité plus strictes devraient être prises pour découvrir l'attaque. Mais, comme mentionné, une fois ces rootkits / logiciels malveillants installés, ses capacités furtives rendent difficile sa suppression et ses composants qu'il pourrait télécharger. Pour cette raison, Microsoft a créé un rapport sur ROOTKITS.

Le rapport de 16 pages décrit comment un attaquant utilise des rootkits et comment ces rootkits fonctionnent sur les ordinateurs affectés.

Le seul objectif du rapport est d'identifier et d'examiner de près les logiciels malveillants puissants qui menacent de nombreuses organisations, en particulier les utilisateurs d'ordinateurs. Il mentionne également certaines des familles de logiciels malveillants les plus répandues et met en lumière la méthode utilisée par les attaquants pour installer ces rootkits à leurs propres fins égoïstes sur des systèmes sains. Dans le reste du rapport, vous trouverez des experts faisant des recommandations pour aider les utilisateurs à atténuer la menace des rootkits.

Types de rootkits

Il existe de nombreux endroits où les logiciels malveillants peuvent s'installer dans un système d'exploitation. Ainsi, le type de rootkit est principalement déterminé par son emplacement où il effectue sa subversion du chemin d'exécution. Ceci comprend:

  1. Rootkits en mode utilisateur
  2. Rootkits en mode noyau
  3. Rootkits / bootkits MBR

L'effet possible d'un compromis de rootkit en mode noyau est illustré par une capture d'écran ci-dessous.

barra de desplazamiento inferior falta cromo

Le troisième type, modifier le Master Boot Record pour prendre le contrôle du système et démarrer le processus de chargement le plus tôt possible dans la séquence de démarrage3. Il cache les fichiers, les modifications du registre, les preuves de connexions réseau ainsi que d'autres indicateurs possibles qui peuvent indiquer sa présence.

Familles de logiciels malveillants notables qui utilisent la fonctionnalité Rootkit

  • Win32 / Sinowal 13 - Une famille de logiciels malveillants à plusieurs composants qui tente de voler des données sensibles telles que les noms d'utilisateur et les mots de passe pour différents systèmes. Cela inclut la tentative de voler les détails d'authentification pour une variété de comptes FTP, HTTP et de messagerie, ainsi que les informations d'identification utilisées pour les opérations bancaires en ligne et d'autres transactions financières.
  • Win32 / Cutwail 15 - Un cheval de Troie qui télécharge et exécute des fichiers arbitraires. Les fichiers téléchargés peuvent être exécutés à partir du disque ou injectés directement dans d'autres processus. Bien que la fonctionnalité des fichiers téléchargés soit variable, Cutwail télécharge généralement d'autres composants qui envoient du spam. Il utilise un rootkit en mode noyau et installe plusieurs pilotes de périphériques pour cacher ses composants aux utilisateurs concernés.
  • Win32 / Rustock - Une famille multi-composants de chevaux de Troie de porte dérobée compatibles avec les rootkits, initialement développée pour faciliter la distribution d'e-mails de «spam» via un botnet . Un botnet est un vaste réseau d'ordinateurs compromis contrôlé par un attaquant.

Protection contre les rootkits

Empêcher l'installation de rootkits est la méthode la plus efficace pour éviter l'infection par les rootkits. Pour cela, il est nécessaire d'investir dans des technologies de protection telles que des produits antivirus et pare-feu. Ces produits devraient adopter une approche globale de la protection en utilisant la détection traditionnelle basée sur la signature, la détection heuristique, la capacité de signature dynamique et réactive et la surveillance du comportement.

Tous ces jeux de signatures doivent être tenus à jour à l'aide d'un mécanisme de mise à jour automatisé. Les solutions antivirus de Microsoft incluent un certain nombre de technologies conçues spécifiquement pour atténuer les rootkits, notamment la surveillance du comportement du noyau en direct qui détecte et signale les tentatives de modification du noyau d’un système affecté, et une analyse directe du système de fichiers qui facilite l’identification et la suppression des pilotes cachés.

Si un système est trouvé compromis, un outil supplémentaire qui vous permet de démarrer sur un bon environnement connu ou fiable peut s'avérer utile car il peut suggérer des mesures correctives appropriées.

Dans de telles circonstances,

  1. L'outil Standalone System Sweeper (qui fait partie du Microsoft Diagnostics and Recovery Toolset (DaRT)
  2. Windows Defender Offline peut être utile.
Téléchargez l'outil de réparation PC pour trouver et corriger automatiquement les erreurs Windows

Pour plus d'informations, vous pouvez télécharger le rapport PDF à partir de Centre de téléchargement Microsoft.

Articles Populaires