Prévenir et détecter les root kits

Si vous avez des raisons de soupçonner une infection de root kit, examinez votre système avec tous les outils en votre possession. Sachez que les solutions antilogiciel espion et antivirus actuelles sont impuissantes contre les root kits. En revanche, les détecteurs de root kits, les débogueurs de kernel et les utilitaires de diagnostic de processus peuvent en débusquer beaucoup.

Tous les root kits publiés à l’heure actuelle présentent dans leur dissimulation des trous grâce auxquels les détecteurs découvrent leur présence. Ainsi, un root kit qui dissimule des fichiers au niveau de la couche API Windows pourra être détecté par une application qui utilise l’API native pour scanner les systèmes de fichiers. Bien que NT Rootkit soit l’un des root kits publiés les plus avancés, il ne manipule pas directement les objets kernel. Donc, vous pouvez utiliser un débogueur de kernel comme l’outil Microsoft Debugging Tools for Windows WinDbg pour examiner la liste des processus du kernel et voir les éventuels processus malware que NT Rootkit dissimule, y compris l’objet driver de périphérique de NT Rootkit.

Une détection générale des root kits suppose que l’on examine l’état du système sous le maximum d’angles possibles et que l’on compare les résultats : les différences et discordances peuvent indiquer la présence d’un root kit. Donc, pour détecter la présence de processus malware dissimulés, vous devez rassembler la sortie des utilitaires de diagnostic de processus et celle du débogueur du kernel et comparer les deux. Un moyen relativement simple de détecter les fichiers et répertoires dissimulés consiste à énumérer le contenu des volumes d’un système Windows actif et à comparer ce contenu avec celui des volumes d’une installation que l’on sait impeccable. Le Windows PE (Preinstallation Environment) que Microsoft propose aux clients SA (Software Assurance) est un environnement net que les utilisateurs SA peuvent utiliser pour la comparaison.

Microsoft Research a développé Strider Ghostbuster, un outil qui automatise cette comparaison online-versus-offline. Au moment de l’écriture de ces lignes, le site Strider Web (http://www.research.microsoft.com/rootkit) indique que l’outil sera rendu disponible comme un prototype de recherche ou dans le cadre des produits Microsoft. En attendant qu’il soit disponible, vous pouvez suivre les étapes manuelles indiquées sur le site Web pour traquer les root kits dans votre système. Au moment où nous écrivons ces lignes, une firme antivirus au moins, F-Secure, a présenté une version bêta d’un outil destiné à détecter des root kits : F-Secure Blacklight Rootkit Elimination Technology. Il est probable que d’autres sociétés lui emboîteront le pas.