Rootkits : 5000 victimes d'un nouveau venu, Mebroot
Le sexe en ligne a aussi ses maladies vénériennes
Un nouveau cheval de Troie a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit suffisamment sérieux pour faire l’objet d’un billet assez important sur le blog de Symantec consacré aux nouvelles menaces.Ce rootkit, que la société a nommé Mebroot, s’installe dans le MBR (Master Boot Record) du disque dur, la zone dans laquelle sont contenues les informations relatives au lancement du système. Une fois intégré dans ce secteur, Mebroot peut contrôler l’ensemble de la machine, en faisant notamment appel à un malware de 467 Ko installé dans le tout dernier secteur du disque dur.
Les attaques par rootkit ne sont pas nouvelles, et divers PoC (Proof-of-Concept) ont été créés en 2005 et 2007 par plusieurs experts en sécurité. D’ailleurs, Symantec indique que le code de Mebroot reprend en partie le code du PoC créé en 2005 par Derek Soeder d’eEye Digital Security, notamment tout le cœur. Le reste a été modifié pour être adapté aux besoins de l’auteur, en particulier l’appel au malware.
Selon Symantec, le problème principal reste que la majorité des systèmes Windows permet un certain écrasement des données du MBR, même en mode utilisateur (par opposition au mode noyau). Durant le développement de Vista, Joanna Rutkowska avait démontré que la chose était également possible avec le nouveau système de Microsoft, une faille qui a été corrigée avec la Release Candidate 2 (et donc la version finale).
Pour l’instant, Mebroot s’installe et s’exécute avec succès sous Windows XP, quel que soit le Service Pack installé. Il ne fonctionnerait d’ailleurs bien qu’avec cette version de Windows, à cause en particulier d’un code spécifique dans le rootkit.
La méthode de propagation a un air de déjà-vu : des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer. 5000 victimes en Europe auraient déjà été comptabilisées.
Selon Symantec, le risque représenté par Mebroot reste très faible, car le cheval de Troie n'a pas de méthode de réplication propre. Il ne peut donc toucher que les utilisateurs surfant sur les sites malveillants cités, et eux seuls.
Source :
Symantec
Vincent Hermann
le 14 janvier 2008 à 12:37
(32 342
lectures)
Actualités et brèves relatives
- 14 / 12 / 2007 : Un PC sur cinq serait infecté par un rootkit
- 03 / 09 / 2007 : Un rootkit pour ses clés USB biométriques ? Sony s'explique
- 28 / 08 / 2007 : Un autre rootkit entache les clés USB biométriques de Sony
- 16 / 07 / 2007 : Affaire Rootkit : Sony attaque le créateur de sa protection DRM
- 22 / 01 / 2007 : Palmarès 2006 des Big Brother Awards France
- 20 / 12 / 2006 : Sony BMG règle l'affaire des rootkits en Californie et au Texas
- 10 / 11 / 2006 : Microsoft distribue Rootkit Revealer et Process Monitor
- 04 / 10 / 2006 : Sécurité : Microsoft répond à Symantec et McAfee
