Un Rootkit cache virus, spyware, backdoor aux antivirus et anti-spyware

Qu’est-ce qu’un rootkit ? Quelle menace représentent-ils aujourd’hui ? Quels risques pour demain ?

Rendre un autre programme invisible

Un Rootkit sous Windows est un programme qui en cache un autre aux yeux de l’utilisateur du PC et des
logiciels de sécurité (antivirus et anti-spyware en particulier).
Inoffensif en lui-même, il rend invisible un autre programme, généralement un
malware, tel qu’une backdoor, un virus, un ver ou un
spyware.

Un but courant est de faciliter l’installation d’une backdoor
sur la machine cible, une porte dérobée qui va permettre au pirate de garder pendant un certain temps un
accès frauduleux au PC. L’invisibilité produite par le rootkit augmentera la durée de l’accès.

Incapables de se reproduire, les rootkits ne sont pas des virus (ni des vers).
Ils ne permettent pas non plus de s’introduire sur un PC, même si certains cherchent à infecter d’autres
machines (fournis avec un outil de recherche de faille de sécurité
ou d’interception de mot de passe).


Les conditions d’exécution

En plus d’un accès préalable à la machine ciblée (en s’y introduisant à distance
par l’exploitation d’une faille de sécurité), un rootkit nécessite les droits d’un administrateur
pour pouvoir modifier le système d’exploitation de façon
à cacher des fichiers ou des programmes.

Un utilisateur courant a des droits limités sur le PC : il ne peut accéder qu’à un nombre
limité de fichiers (ceux qui lui appartiennent) et exécuter un nombre réduit de programmes (ceux
qu’il a installés). Un administrateur (alias « root ») a tous les droits possibles sur la machine, il peut ajouter,
modifier ou supprimer n’importe quel fichier.

La distinction entre utilisateur courant et administrateur n’existe pas sous Windows 95 / 98 / Me, où un
utilisateur est forcément administrateur du PC. Elle est apparue sous Windows NT / 2000 et perdure sous Windows
XP. Elle existe depuis toujours sous Unix et Linux.


Quel est le danger d’un rootkit ?

Un virus, un ver, une backdoor ou un spyware peut rester actif et
invisible aussi longtemps qu’il utilise un rootkit, même si le PC est protégé par l’état de
l’art en matière d’antivirus ou d’
anti-spyware : aucun programme de protection ne peut désactiver un
malware qu’il ne voit pas.


L’évolution du risque

L’utilisation actuelle des rootkits est encore faible par rapport au nombre de malware existants.


rootkit sous Windows
Source : viruslist.com

Ils sont aujourd’hui plus utilisés dans les spyware et les backdoor que dans les
virus et les vers. Quelques exemples :

  • spyware : EliteToolbar, ProAgent, Probot SE
  • backdoor : Berbew, Feutel
  • virus/vers : Myfip.h, Maslan.

Mais leur usage est en hausse constante et représente un intérêt évident pour les
créateurs de virus ou de réseaux de zombis.

Les antivirus peuvent détecter l’installation d’un rootkit, sans aucune garantie.

La plupart des internautes utilisent un compte administrateur sous Windows au lieu d’un compte limité, ce qui
facilite l’installation des rootkits sur leur PC, et d’une manière générale, augmente fortement les
risques de sécurité.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *