> Risques Internet > Cacher virus/spyware aux antivirus/anti spyware

Plan  

Un Rootkit cache virus, spyware, backdoor aux antivirus et anti-spyware

Qu'est-ce qu'un rootkit ? Quelle menace représentent-ils aujourd'hui ? Quels risques pour demain ?

S'abonner au flux RSS icône de flux RSS - Publiée le 9.8.2006

 

Rendre un autre programme invisible

Un Rootkit sous Windows est un programme qui en cache un autre aux yeux de l'utilisateur du PC et des logiciels de sécurité (antivirus et anti-spyware en particulier). Inoffensif en lui-même, il rend invisible un autre programme, généralement un malware, tel qu'une backdoor, un virus, un ver ou un spyware.

Un but courant est de faciliter l'installation d'une backdoor sur la machine cible, une porte dérobée qui va permettre au pirate de garder pendant un certain temps un accès frauduleux au PC. L'invisibilité produite par le rootkit augmentera la durée de l'accès.

Incapables de se reproduire, les rootkits ne sont pas des virus (ni des vers). Ils ne permettent pas non plus de s'introduire sur un PC, même si certains cherchent à infecter d'autres machines (fournis avec un outil de recherche de faille de sécurité ou d'interception de mot de passe).

Les conditions d'exécution

En plus d'un accès préalable à la machine ciblée (en s'y introduisant à distance par l'exploitation d'une faille de sécurité), un rootkit nécessite les droits d'un administrateur pour pouvoir modifier le système d'exploitation de façon à cacher des fichiers ou des programmes.

Un utilisateur courant a des droits limités sur le PC : il ne peut accéder qu'à un nombre limité de fichiers (ceux qui lui appartiennent) et exécuter un nombre réduit de programmes (ceux qu'il a installés). Un administrateur (alias "root") a tous les droits possibles sur la machine, il peut ajouter, modifier ou supprimer n'importe quel fichier.

La distinction entre utilisateur courant et administrateur n'existe pas sous Windows 95 / 98 / Me, où un utilisateur est forcément administrateur du PC. Elle est apparue sous Windows NT / 2000 et perdure sous Windows XP. Elle existe depuis toujours sous Unix et Linux.

Quel est le danger d'un rootkit ?

Un virus, un ver, une backdoor ou un spyware peut rester actif et invisible aussi longtemps qu'il utilise un rootkit, même si le PC est protégé par l'état de l'art en matière d'antivirus ou d' anti-spyware : aucun programme de protection ne peut désactiver un malware qu'il ne voit pas.

L'évolution du risque

L'utilisation actuelle des rootkits est encore faible par rapport au nombre de malware existants.

rootkit sous Windows
Source : viruslist.com

Ils sont aujourd'hui plus utilisés dans les spyware et les backdoor que dans les virus et les vers. Quelques exemples :

  • spyware : EliteToolbar, ProAgent, Probot SE
  • backdoor : Berbew, Feutel
  • virus/vers : Myfip.h, Maslan.

Mais leur usage est en hausse constante et représente un intérêt évident pour les créateurs de virus ou de réseaux de zombis.

Les antivirus peuvent détecter l'installation d'un rootkit, sans aucune garantie.

La plupart des internautes utilisent un compte administrateur sous Windows au lieu d'un compte limité, ce qui facilite l'installation des rootkits sur leur PC, et d'une manière générale, augmente fortement les risques de sécurité.

Haut de page

 Contact | Publiée le 9.8.2006 | XHTML 1.0 & CSS 2.1