Flux RSS
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique préventive - Décontamination - Antivirus - Protection - Protection de la Vie Privée

Rootkit

Dernière mise à jour : 2017-07-27T14:58 - 27.07.2017
29.12.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Implication probable du virus Regin dans Sigint Enabling Project de la NSA - l'un de ses composants est un rootkit.

" Rootkit " est un nom générique donné à des boîtes à outils pour parasites informatiques arrivant à s'implanter dans un ordinateur avec les privilèges les plus élevés (" Ring 0 " - " Niveau Root ") du système d'exploitation.

RootKitRootKitRootKit

" Rootkit " est un nom générique donné à des dispositifs logiciels, la plupart du temps malicieux, arrivant à s'implanter dans un ordinateur avec les privilèges les plus élevés (" Ring 0 " dans Windows) du système d'exploitation.

Les niveaux de privilèges dans un système d'exploitation : ring0, ring1, ring2, ring3, ring 0, ring 1, ring 2, ring 3
Les niveaux de privilèges dans un système d'exploitation : ring0, ring1, ring2, ring3, ring 0, ring 1, ring 2, ring 3

Les Rootkit s'installent au niveau " racine " du système (dans son noyau), grace, historiquement, aux privilèges de l'utilisateur " root " (le compte utilisateur avec les niveaux de privilèges les plus élevés dans le monde Unix où les Rootkit sont nés), d'où leur nom.

Les Rootkit disposent alors de tous les moyens pour se rendre totalement furtifs et indétectables (" crochetage " (" hook - hooker - hooking ") du système de fichiers empêchant d'être vu, etc. ...).

Exemples de comportement d'un RootKit :

  • Si un logiciel, que le Rootkit identifie comme étant un antivirus ou un logiciel de sécurité, tente d'accéder à l'un des objets du Rootkit, en en faisant la demande, par exemple, au système de fichiers, le Rootkit, qui intercepte toutes ces demandes (il crochette le système de fichiers), retourne une réponse disant que le fichier demandé n'existe pas.
  • Si un journal d'activité du système (log) fait ressortir une activité relevant du Rootkit (exploitation de la bande passante Internet, processus s'exécutant, etc. ...), le Rootkit falsifie les journaux d'activité.

Les Rootkit existent dans tous les mondes informatiques : Linux, Unix, Solaris, HP-UX, Mac OS X, Windows...

Certains logiciels, plus ou moins légitimes, utilisent des techniques de Rootkit, tels les émulateurs de disque (DAEMON Tools, Alcohol 120%, ...).

Certains Rootkit sont développés pour suivre les DRM (les droits numériques) et identifier les pirates ou bloquer le fonctionnement des versions pirates de ressources soumises à des droits. Mark Russinovich, de SysInternals, avait découvert le fameux et controversé (fumeux) " Rootkit " de Sony (Sony le retira rapidement).

La propagation (le déploiement) des Rootkit suit les mêmes chemins que le déploiement des virus et autres malveillances (exploitation de failles de sécurité, spams, logiciels quelconques (de jeux, crack, plugins prétenduments spécifiques, fausses alertes de mises à jour, chevaux de Troie, etc. ...).

Les Rootkit sont très difficiles à détecter et à éradiquer (ils ne sont pas du ressort des antivirus qui ne peuvent pas les voir - mais les antivirus les plus avancés disposent désormais de dispositifs antirootkit, soit développés en interne, soit achetés à un développeur externe). Si, après une décontamination standard, un soupçon de contamination continue de peser sur une machine, l'utilisateur doit consulter un forum d'entraide spécialisé ayant des assistants (" helpers ") agréés.

Le virus Regin, considéré comme l'un des plus sophistiqué du monde, a pu fonctionner durant 10 ans (de 2003 à 2014) avant d'être découvert. L'un de ses composants est un rootkit (rootkit Regin - sous le nom de Rootkit.Win32.Regin).

L'internaute " normal " ne doit pas tenter de s'en sortir tout seul et ne doit absolument pas recopier une solution trouvée sur l'Internet. Les solutions sont données à titre personnel et ne concernent qu'un ordinateur particulier d'un utilisateur particulier contre une attaque particulière dans un contexte particulier. Seul un assistant agréé vous donnera une solution qui ne s'appliquera qu'à votre machine après vous avoir fait faire de nombreuses opérations préalables et vous avoir demandé de lui fournir de nombreux journaux d'analyses (logs) qu'il mettra un certain temps à décortiquer pour vous proposer une solution adaptée et strictement personnelle.

Sites et Forums de décontamination et d'entraide
  1. Site et forum d'Assiste.com - FrançaisForum Assiste (décontamination fermée) - Admin : Pierre (aka Terdef) (ASAP) - Site
  2. Site et forum de la communauté Microsoft - FrançaisForum Microsoft - Des dizaines de MS MVP et d'utilisateurs avancés des produits MS.
  3. Site et forum de Libellules - FrançaisForum Libellules - Administrateur : Falkra - Site
  4. Site et forum de Malekal - FrançaisForum Malekal - Administrateur : Malekal - Site
  5. Site et forum de PCAstuces - FrançaisForum PCAstuces - Administrateur : Thomas Ricouard - Site
  6. Site et forum de Zebulon - FrançaisForum Zebulon - Admin : Yann. Membres : Gérard Mélone (MS MVP), Herser (MS MVP), ... - Site
  7. Site et forum de Security-x - FrançaisForum security-x - Administrateurs : Egwene, Eric_71, igor51
  8. Site et forum de AidoWeb - FrançaisForum AidoWeb - Administrateur : Pouzy, Winx - Site


  9. Site et forum de Zebulon - AnglaisForum Bleepingcomputer - Administrateur : Lawrence Abrams (alias Grinler - MS MVP) - Site
  10. Site et forum de Spyware Warrior - AnglaisForum Spyware Warrior - Admin : Suzi Turner (MS MVP) et Eric Howes (MS MVP) - Site
  11. Site et forum de Spyware Warrior - AnglaisForum SpywareInfo - Administrateurs : Budfred (MS MVP), cnm, Indrid_Cold, jedi
  12. Site et forum de Spyware Warrior - AnglaisForum Wilders Security - Administrateur : Paul Wilders (MS MVP)

    Dans le monde Mac
  13. Site et forum de Spyware Warrior - AnglaisMalwareTips

Sécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoirSécurité informatique - Comment je me fais avoir - Comment ne pas me faire avoir

Contre mesuresContre-mesures" Contre mesures "

Le pare-feu est la première des mesures à mettre en oeuvre.

Ne jamais travailler sous un compte avec des privilèges administratif (Principe de Moindre Privilège). A partir de Windows Vista, même si vous vous identifiez sous un compte pouvant accéder aux privilèges d'administration du système, vous travaillez systématiquement avec des privilèges d'un utilisateur normal. Il faut demander une élévation de privilège.

Installez EMET

Installez Malwarebytes Anti-Malware (MBAM) - Version Premium

Derrière le rideauDerrière le rideauDerrière le rideau

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

RootKit Detection + Prevention ! Sysinternals Forums - Page 1
2008 - VirusList (Kaspersky) - Évolution des rootkits

 Requêtes similairesRequêtes similaires" Requêtes similaires "