Rootkits : 5000 victimes d'un nouveau venu, Mebroot
Le sexe en ligne a aussi ses maladies vénériennes
Un nouveau cheval de Troie a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit suffisamment sérieux pour faire l’objet d’un billet assez important sur le blog de Symantec consacré aux nouvelles menaces.
Ce rootkit, que la société a nommé Mebroot, s’installe dans le MBR (Master Boot...
Un nouveau cheval de Troie a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit suffisamment sérieux pour faire l’objet d’un billet assez important sur le blog de Symantec consacré aux nouvelles menaces.
Ce rootkit, que la société a nommé Mebroot, s’installe dans le MBR (Master Boot Record) du disque dur, la zone dans laquelle sont contenues les informations relatives au lancement du système. Une fois intégré dans ce secteur, Mebroot peut contrôler l’ensemble de la machine, en faisant notamment appel à un malware de 467 Ko installé dans le tout dernier secteur du disque dur.
Les attaques par rootkit ne sont pas nouvelles, et divers PoC (Proof-of-Concept) ont été créés en 2005 et 2007 par plusieurs experts en sécurité. D’ailleurs, Symantec indique que le code de Mebroot reprend en partie le code du PoC créé en 2005 par Derek Soeder d’eEye Digital Security, notamment tout le cœur. Le reste a été modifié pour être adapté aux besoins de l’auteur, en particulier l’appel au malware.
Selon Symantec, le problème principal reste que la majorité des systèmes Windows permet un certain écrasement des données du MBR, même en mode utilisateur (par opposition au mode noyau). Durant le développement de Vista, Joanna Rutkowska avait démontré que la chose était également possible avec le nouveau système de Microsoft, une faille qui a été corrigée avec la Release Candidate 2 (et donc la version finale).
Pour l’instant, Mebroot s’installe et s’exécute avec succès sous Windows XP, quel que soit le Service Pack installé. Il ne fonctionnerait d’ailleurs bien qu’avec cette version de Windows, à cause en particulier d’un code spécifique dans le rootkit.
La méthode de propagation a un air de déjà-vu : des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer. 5000 victimes en Europe auraient déjà été comptabilisées.
Selon Symantec, le risque représenté par Mebroot reste très faible, car le cheval de Troie n'a pas de méthode de réplication propre. Il ne peut donc toucher que les utilisateurs surfant sur les sites malveillants cités, et eux seuls.
Un nouveau cheval de Troie a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit suffisamment sérieux pour faire l’objet d’un billet assez important sur le blog de Symantec consacré aux nouvelles menaces.Ce rootkit, que la société a nommé Mebroot, s’installe dans le MBR (Master Boot Record) du disque dur, la zone dans laquelle sont contenues les informations relatives au lancement du système. Une fois intégré dans ce secteur, Mebroot peut contrôler l’ensemble de la machine, en faisant notamment appel à un malware de 467 Ko installé dans le tout dernier secteur du disque dur.
Les attaques par rootkit ne sont pas nouvelles, et divers PoC (Proof-of-Concept) ont été créés en 2005 et 2007 par plusieurs experts en sécurité. D’ailleurs, Symantec indique que le code de Mebroot reprend en partie le code du PoC créé en 2005 par Derek Soeder d’eEye Digital Security, notamment tout le cœur. Le reste a été modifié pour être adapté aux besoins de l’auteur, en particulier l’appel au malware.
Selon Symantec, le problème principal reste que la majorité des systèmes Windows permet un certain écrasement des données du MBR, même en mode utilisateur (par opposition au mode noyau). Durant le développement de Vista, Joanna Rutkowska avait démontré que la chose était également possible avec le nouveau système de Microsoft, une faille qui a été corrigée avec la Release Candidate 2 (et donc la version finale).
Pour l’instant, Mebroot s’installe et s’exécute avec succès sous Windows XP, quel que soit le Service Pack installé. Il ne fonctionnerait d’ailleurs bien qu’avec cette version de Windows, à cause en particulier d’un code spécifique dans le rootkit.
La méthode de propagation a un air de déjà-vu : des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer. 5000 victimes en Europe auraient déjà été comptabilisées.
Selon Symantec, le risque représenté par Mebroot reste très faible, car le cheval de Troie n'a pas de méthode de réplication propre. Il ne peut donc toucher que les utilisateurs surfant sur les sites malveillants cités, et eux seuls.
Source :
Symantec
Vincent Hermann
Rédacteur/journaliste spécialisé dans le logiciel et en particulier les systèmes d'exploitation. Ne se déplace jamais sans son épée.
Le 14 janvier 2008 à 12:37
(32 911
lectures)
Soutenez l'indépendance de PC INpact en devenant Premium
- Tout le contenu de PC INpact sans pub
- Et bien plus encore...
Il y a 108 commentaires
INpactien
des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer
le plus gros c est meetic
INpactien
david.demoulin
Le lundi 14 janvier 2008 à 12:41:50
#2
Inscrit
le vendredi 7 février 03
-
1853
commentaires
des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer. 5000 victimes en Europe auraient déjà été comptabilisées.
il n'y aurait que 5000 personnes ayant winxp sp2 qui va sur les sites pr0n?
en fait les autres ne se manifeste pas
INpactien
youri_1er
Le lundi 14 janvier 2008 à 12:41:59
#3
Inscrit
le jeudi 8 septembre 05
-
14427
commentaires
donc on a trouvé un nouveau moyen de pourrir les winXP relativement efficace et pas du tout bloqué par Microsoft!
Marrant quand on démarre une nouvelle année ou Microsoft voudrais que son nouvel OS, qui lui est protégé contre ce virus, s'impose sur toutes les configs!
Edité par youri_1er le lundi 14 janvier 2008 à 12:42
Marrant quand on démarre une nouvelle année ou Microsoft voudrais que son nouvel OS, qui lui est protégé contre ce virus, s'impose sur toutes les configs!
Edité par youri_1er le lundi 14 janvier 2008 à 12:42
INpactien
Euh... N'importe quel AV de base bloque l'écriture sur le MBR non?
INpactien
donc on a trouvé un nouveau moyen de pourrir les winXP relativement efficace et pas du tout bloqué par Microsoft!
Marrant quand on démarre une nouvelle année ou Microsoft voudrais que son nouvel OS, qui lui est protégé contre ce virus, s'impose sur toutes les configs!
Marrant quand on démarre une nouvelle année ou Microsoft voudrais que son nouvel OS, qui lui est protégé contre ce virus, s'impose sur toutes les configs!
Serait-ce un sous entendu trollesque?
Il n'est plus possible de commenter cette actualité
Vous devez être connecté ou vous inscrire en haut pour pouvoir participer aux commentaires.
Il y a 108 commentaires
-
Libération annonce l'arrivée de son nouveau site
(18)
Le paywall dans la foulée -
Facebook dévoilera sa nouvelle « grande idée » le 20 juin
(23)
On espère que ce sera mieux que Home -
SVOD : Jook Video pour 3 € pendant 3 mois sur Vente Privée
(9)
De la VoD illimitée pour pas cher... -
Tout est vrai (ou presque) : la vie de Kim Dotcom en trois minutes
(15)
Impossible de faire moins
Comment profiter du nouveau Google Maps sans invitation
Les chats gouvernent Internet, cela passe donc par les cookies
434ème édition des LIDD : Liens Idiots Du Dimanche
Java, Batman, Hobbit et GoT au menu, et aussi un ours
-
Des GeForce GTX 770 à partir de 335,51 €
Valable jusqu'au 23 juin -
99,90 € pour un disque dur Toshiba de 3 To en S-ATA 6 Gb/s
Valable pendant 14 heures -
Une GeForce GTX 680 avec le jeu Metro Last Light pour 299,90 €
Valable jusqu'au 21 juin -
Un iPad 2 blanc de 16 Go pour 349 €
Valable jusqu'au 23 juin
