Découverte d'un nouveau type de rootkit

Selon Symantec et F-Secure, un nouveau type de rootkit a été découvert. D’un genre différent mêlant vieilles techniques à nouveaux concepts, la nouvelle bestiole est nommée Backdoor.Rustock.A chez Symantec et Mailbot.AZ chez F-Secure et utilise visiblement des méthodes de pointe quand il s’agit de se camoufler.

Ce nouveau rootkit ne lance aucun processus en mémoire et se cache à l’intérieur d’un pilote au format SYS, lui-même polymorphe. Il est capable de détecter de manière proactive la présence des logiciels anti-rootkit pour modifier son propre comportement et ainsi passer inaperçu.

Symantec et F-Secure avertissent que les dernières mises à jour reconnaissent le rootkit, mais que sa détection une fois qu’il est installé se révélera extrêmement difficile. Il utilise en effet plusieurs fonctions avancées comme les ADS (Alternate Data Streams) du système de fichier NTFS, qui suffisent déjà à cacher bien des choses, mais des techniques de dissimulation sont appliquées pour masquer davantage les données.

Source : TechWorld

Vincent Hermann le 17 juillet 2006 à 17:21 (31 462 lectures)

Tweeter

• 26 / 05 / 2006 : Ad Aware dans la tourmente des critiques
• 03 / 05 / 2006 : Un trojan visant les joueurs de World of Warcraft
• 25 / 04 / 2006 : Rootkit.com, une communauté ouverte autour du rookit
• 18 / 04 / 2006 : McAfee rapporte une explosion du nombre de rootkits
• 14 / 03 / 2006 : Les victimes du rootkits doivent réclamer des indémnités
• 21 / 02 / 2006 : "Rootkit-like" dans des DVD ? Settec répond
• 20 / 02 / 2006 : Sony-BMG : l'effet boomerang du verrou anticopie ?
• 15 / 02 / 2006 : Un "rootkit-like" dans deux DVD allemands

Actu Précédente Actu Suivante