a² Base du savoir: Rootkits - La nouvelle tendance de Malware

BASE DE CONNAISSANCES

PRODUITS

BULLETINS D'INFOS

Tous les bulletins d'infos Flux d'actualit�s

REVIEWS

BEST IN TEST!

November 2008:
99.84% detection rate in
antivirus comparison test of
PC Security Labs!

October 2008:
30 well known Anti-Malwares
tested. 800,025 samples used.
a-squared Anti-Malware
with best detection!
Test by SSUpdater.com

October 2008:
99.56% detection rate in
antivirus comparison test of
PC Security Labs!

August 2008:
Dozleng.com Comparison Test:
(70 old, not so old and new threats)

Test of 8 free antispyware/antimalwares:

"Of the scanners tested,
a-squared by Emsisoft performed
significantly better than
the others."

RÉCOMPENSES

"Our favorite malware-masher:
a-squared Anti-Malware!"

SecuritySoftwareZone.com best rating 5 stars

SecuritySoftwareZone best rating

Tucows 5 cows!

"En ce qui concerne les Vers, les Spywares et
les Trojans, a-squared Anti-Malware
est à peine à battre."

zdnet.de tagestipp

ZDNet Tip du jour

Autrichien Prix-IT - 3e place pour a-squared

Classé 3e chez Constantinus
IT-Prix

MajorGeeks.com
Élu choix du rédacteur

MajorGeeks Editors Pick

BlueSofts.com
Élu choix du rédacteur

PickFiles.com
5 étoiles sur 5

PickFiles étoiles

SoftChecker.com
Élu choix du rédacteur

SoftChecker Élu choix du rédacteur

onekit.com
5 étoiles sur 5

onekit 5 étoiles

MaxxDownload
5 étoiles sur 5

AcidFiles.com
Élu choix du rédacteur

Rootkits - La nouvelle tendance de Malware

Depuis quelque temps, une nouvelle définition rôde à nouveau dans le monde médiatique de l'informatique: Rootkits. Ce qui sonne pour un profane armé d'un dictionnaire de définitions comme un mélange de "racine" et de "matériaux de scellement", a en réalité rien à voir avec tout ça. À l'origine, cette définition descendait plutôt du vocabulaire Unix où "Root (racine)" signifiant "utilisateur avec les droits d'accès les plus élevés", ce qui est l'équivalent de l'administrateur pour les systèmes Windows. Les Rootkits existent déjà depuis longtemps pour les systèmes respectifs de Unix et de Linux, mais, entre-temps la tendance a aussi atteint les utilisateurs déjà traumatisés des systèmes Windows. Mais, commençons plutôt dans le sens le plus propre du mot "root (racine)".

L'utilisateur avec les droits "root (racine)" et/ou administrateur, a comme on le dit, le plein accès au système d'exploitation. Il est d'autant plus intéressant pour les agresseurs et les programmes nuisibles d'obtenir ces droits et naturellement de garder ceux-ci. Maintenant, en réalité chaque modification et chaque accès fait d'une manière frauduleuse ou non est décelable, que ce soit au moyen de la modification de la date d'un fichier, les entrées d'un fichier log (fichier journal) ou en raison d'un nouveau processus, les possibilités sont toutefois presque sans limites. En tant qu'agresseur intelligent, je ne veux naturellement pas être reconnu et garder évidemment l'accès à la machine de ma victime. Alors que faut-il que je fasse? - J'invente le Rootkit.

Un Rootkit doit donc par conséquent, garder la possibilité d'accès frauduleuse à l'agresseur. Cela se fait par la dissimulation des traces laissées, de sorte que l'administrateur ne puisse rien remarquer de l'intrus. En principe, on différencie deux sortes bien distinctes de Rootkits. Tandis que "Kernel (noyau) Rootkits" ajoutent principalement leur propre code dans les parties du coeur du système d'exploitation (le "noyau") (en effet en partie, seulement dans la structure des données), il arrive que des soits disant "Rootkits en mode utilisateur" soient utilisées pour le système Windows.

"Rootkits en mode utilisateur" sont soit chargés régulièrement par le lancement de programmes pendant le démarrage du système, soit injectés par un "Trojan Dropper" (Trojan installateur). Les possibilités précises de mise en oeuvre sont relativement polyvalentes et dépendent fortement du système d'exploitation - tandis que les Rootkits sous Windows manipulent certaines fonctions de base des fichiers DLL de Windows, avec Unix, c'est souvent une application complète qui est remplacé.

Une fois démarré, le Rootkit suit maintenant le pourquoi il a été crée - supprimer ses traces. Là encore, les variations sont si multiples tout comme d'ailleurs les possibilités de rechercher l'intrus. Pour vous donner un exemple très simple: Il y a une fonction propre dans Windows qui est compétente pour le listage du contenu des fichiers. Le Rootkit peut maintenant modifier cette fonction de base ("API") de telle sorte que le propre nom du fichier ne soit plus affiché - et hop, le fichier est invisible pour l'utilisateur. Par la manipulation d'autres Windows-APIs, il peut non seulement dissimuler des fichiers et des dossiers, mais aussi des programmes actifs, utiliser des ports ouverts de réseaux pour la communication ou des clés de registre. Naturellement, ceci ne sont que quelques-une des routines frauduleuses qu'utilisent les Rootkits.

Venons en maintenant à un fait qui peut tout d'abord paraitre un peu paradoxal: En réalité, Rootkits sont inoffensifs. Le seul but du Rootkit, est de dissimuler son logiciel et sa trace. Qu'ils s'agissent là de logiciels ou de programmes abusifs comme des Backdoors, cela n'est pas prouvé.

Pour cela, un très bel exemple. Fin 2005 l'analyse précise d'un CD de protection contre la copie de l'entreprise Sony BMG. Le spécialiste de Windows, Mark Russinovich découvre un jour, qu'en employant simplement un CD protégé avec ce systéme, il démarre et installe automatiquement un logiciel sans l'approbation de l'utilisateur et qui plus est, n'apparait absolument pas dans la liste des processus et de surcroit, ne peut-être désinstallé; c.à.d. dissimulé à l'utilisateur. Ce logiciel de protection contre la copie, devait à l'origine empêcher que les acheteurs d'un CD de musique ne puissent lire et redistribuer les fichiers audio de quelque manière que ce soit.

Tout de suite après le faux pas de Sony BMG, les Rootkits ont fortement gagné en popularité. Dans ce cas, même le Rootkit lui-même n'est pas un danger indirect contrairement aux logiciels dissimulés de protection contre la copie: car un programmeur ingénieux peut utiliser la fonction de base du Rootkit de Sony BMG qui est installé sur un ordinateur et camoufler son propre logiciel abusif. Sony à dans ce cas vraiment tout raté, tout ça du reste à l'occasion d'une protection contre la copie trop aggressive, qui était déjà fortement douteuse et veillait à ce que leurs propres fichiers soient dissimulés. Ainsi, chaque agresseur peut en utilisant certaines variables dissimuler ses propres logiciels abusifs avec l'aide du Rootkit de Sony.

Sony s'est sortie de cette histoire, malheureusement avec quelques égratignures. Les CDs de musique avec cette protection contre la copie susmentionnée ont été échangés gratuitement après une action de rappel. Les conséquences juridiques définitives de cette erreur ne sont pas connues, aucune personne ne peut dire encore aujourd'hui ce qui va se passer, d'autant plus que beaucoup de clients aux USA ont déjà menacé de déposer plainte.

Un danger de loin encore plus grand, part des soits disant hybrides. En général, on désigne comme hybride un croisement de deux ou plusieurs types de Malware, comme par exemple, un virus avec un ver. L'exemple typique d'un grand proéminent hybride fut fait d'entre un ver et un virus, et ce ver était le "Magistr" qui sema la terreur il y a quelques années. Visiblement, ce que l'on pourrait penser et en partie bien réelle sont les Rootkits hybrides, qui étendent la fonction d'un organisme nuisible déjà existant en lui procurant la capacité de camouflage d'un Rootkit. Plusieurs de ces Rootkits hybrides sont déjà connus. Le Trojan Optix Pro par exemple, posséde déjà depuis plusieurs années des fonctions de Rootkit pour dissimuler sa présence sur un ordinateur contaminé. Les vers également, comme le montre la récente apparition de la nouvelle variante du ver Bagle, peuvent eux-même se servir de la technique du Rootkit pour dissimuler leur présence.

Probablement, dans un avenir très proche allons nous encore lire et entendre beaucoup plus sur les Rootkits. On pourrait voir ça comme une "évolution de la sécurité" normale où la protection croissante de programmes de sécurité et/ou de failles de sécurité colmatés, force la créativité des agresseurs à être encore plus géniale. Le dépistage et le bloquage de la technologie des Rootkits, représente une entreprise difficile, puisqu'une fois le Rootkit installé, il peut aussi selon ses créateurs se camoufler des scanneurs de virus et autre moyen de destruction semblable. Inversement, il faut premièrement découvrir les systèmes contaminés par les Rootkits et ensuite les analyser mais, doivent toutefois être découverts afin que des signatures correspondantes et modèles de comportement puissent être établis - ce qui avec la prochaine attaque de la prochaine génération n'aidera encore en rien.

a-squared Anti-Malware prend donc comme on le sait, un chemin complètement nouveau avec son système Malware-IDS (Intrusion Detection système). L'innovateur Malware-IDS reconnaît les accès aux fonctions importantes du système et offre la possibilité d'arrêter ceux-ci. C'est pourquoi a-squared Anti-Malware est parfaitement en mesure indépendemment du fait des signatures de repousser aussi efficacement les tous nouveaux Rootkits. Cette architecture future, qui apparu il y a déjà plus d'un an, montre que l'exécution des Rootkits alors encore très impopulaires à cette époque pouvaient être déjà stoppés avec succès par a-squared.

01/01/0001

Notre suggestion logiciel:

ZDNet.de meilleure estimation

Contre-attaquer les Malware!

a-squared Anti-Malware est le parfait complémentaire à vos logiciels Antivirus, Pare-feu et protège votre ordinateur contre les Malware:

	Trojans		Backdoors		Vers
	Dialers		Spywares		Rootkits

Commander dès maintenant >>>