Déterrer les root kits

Le logiciel malveillant (malware), et sa cohorte de virus, de chevaux de Troie et de logiciels espions, est devenu une épidémie au cours de ces dernières années. On sait qu’une machine Windows XP Service Pack 1 (SP1) sans correctifs est infectée dans les minutes qui suivent sa connexion à Internet. De plus, le simple téléchargement de logiciel ou la simple consultation de certains sites Web peut introduire un logiciel indésirable dans le système. Heureusement, les moyens de défense contre cette calamité s’améliorent constamment, grâce à un bouclier de sécurité efficace constitué d’un outil antivirus, d’une solution antilogiciel espion, d’un pare-feu, et des tous derniers correctifs. Malheureusement, une technologie appelée root kits menace de modifier le panorama de la sécurité et de compliquer la tâche qui consiste à s’assurer qu’un ordinateur est propre et net.Root kit est un terme appliqué aux techniques de dissimulation. En utilisant un root kit, un malware peut se rendre invisible aux systèmes de sécurité, y compris les outils antivirus et les outils de diagnostic système tels que Task Manager. Voyons donc les mécanismes root kit courants, les méthodes, et les utilitaires que vous pouvez utiliser pour essayer de détecter la présence d’un root kit et, si vous en trouvez un, comment réagir.

Les root kits existent depuis le début des années 90. Mais ils étaient du seul domaine des variants Unix, jusqu’à la fin de la décennie 90, quand la communauté de développeurs Windows a commencé à s’intéresser à cette technique, et quand les programmeurs Windows ont publié des toolkits root kit que d’autres programmeurs pouvaient modifier et étendre. Certains des toolkits sont si bien packagés que tout ce qu’un auteur de malware doit faire pour bénéficier de la dissimulation du root kit, est d’apporter quelques menues modifications à un fichier de configuration et de le grouper avec le malware.

Le site Web http://www.rootkit.com est devenu le point de réunion central des développeurs de root kits, y compris ceux qui déclarent les combattre. Parfois, ils publient euxmêmes des root kits : une méthode pour le moins discutable. Les root kits publiés à Rootkit.com incluent Vanquish, FU, Afx Rootkit 2005, NT Rootkit et Hacker Defender.

Compte tenu de la facilité d’accès aux root kits, on peut s’étonner que davantage de pirates ne les aient pas utilisés pour camoufler les virus qu’ils ont lâchés pendant ces dernières années. Et il est encore plus étonnant de voir que les développeurs de spywares et d’adwares n’ont pas utilisé les root kits pour intégrer profondément leurs logiciels dans un système. Microsoft CSS (Customer Service and Support), une nouvelle organisation qui englobe Microsoft Product Support Services, et que des sociétés antivirus découvrent des root kits installés sur les systèmes client, mais plutôt rarement.

Cependant, les root kits ont suscité récemment beaucoup d’attention de la part des médias, quand les spécialistes se sont aperçus qu’ils représentaient le prochain champ de bataille dans la guerre contre le malware. Cette publicité, si elle alerte les utilisateurs finaux sur les dangers des root kits, a également instruit la communauté malware de la puissance des root kits. Cette communauté commencera à utiliser les root kits pour combattre l’efficacité toujours plus grande des solutions antivirus et anti-espion traditionnelles. Il y aura bientôt des virus, des logiciels espions et du adware que vous serez incapables de supprimer de votre ordinateur sans le reformater et sans réinstaller l’OS.