Lors de la conférence RSA Security 2005, ce sont les chercheurs de Microsoft en personne qui sont venus nous mettre en garde contre la dernière génération de ces programmes intrusifs
Un rootkit est un puissant programme intrusif de dernière génération qui surveille le système et qui semble impossible à détecter avec les produits de sécurités courants !
Hacker Defender, FU ou Vanquish appartiennent à cette dernière génération de logiciels de surveillance à distance, les plus puissants apparus ces dernières années.
Un rootkit est traditionnellement véhiculé comme un virus, ou plus malicieusement lors d’une attaque des défenses d’un ordinateur, un hack.
Installé, il s’exécute tranquillement en arrière plan sur le poste. Il surveille les communications, repère les programmes qui s’installent, espionne le comportement de l’utilisateur du poste.
Dans l’état, il peut facilement être détecté, car il figure dans les processus mémoire !
La menace n’est pas nouvelle mais pour les chercheurs du Security Solutions Group de Microsoft, intervenant lors la conférence RSA Security 2005 de San Francisco, le danger le plus important provient de l’apparition des ‘kernel rootkits’, des rootkits qui s’attaquent au cœur (kernel) du système d’exploitation, ce qui participe à les rendre difficilement détectables.
Ces nouveaux rootkits sont capables d’intercepter les queries, les questions ou ‘system calls’ qui transitent vers le cœur de l’OS. Ils peuvent les filtrer, voir modifier les signes que le programme exécute, comme de se cacher sous un nom de fichier, un processus mémoire, ou une opération sur la configuration du registre de l’OS.
Dans ces conditions, ils sont invisibles à la fois aux administrateurs et aux outils de détection ! Ils échappent à la vigilance des anti-virus, anti-spywares et aux détecteurs d’intrusions réseaux.
Du coup, selon les chercheurs de Microsoft, les rares anti-rootkits efficaces ont été développés par des auteurs de rootkits eux même, mais pas par les éditeurs de solutions de sécurité !
Le danger est d’assister à la migration, qui semble inévitable, des rootkits vers les spywares et virus, c’est-à-dire dans les conditions actuelles des pratiques virales, vers l’influence mafieuse et la cybercriminalité.
Assistant à la conférence, un représentant de Symantec a rappelé que les rootkits ne sont pas exclusifs de Windows, mais que c’est la position de leader de Microsoft sur les OS qui les associe au système d’exploitation Windows.
[source – Silicon.fr] Yves Grandmontagne