Un rootkit sévit sur Windows Vista et Windows 7

Par:
fredericmazue

mar, 24/05/2011 - 12:15

Dans un communiqué, Kaspersky Lab explique avoir détecté des rootkits multifonctions susceptibles de représenter une menace pour les systèmes Windows 32 et 64 bits. Selon l'éditeur, la version 64 bits a pour principale caractéristique de ne pas tenter de contourner le système de protection du noyau PatchGuard mais d’utiliser une signature numérique spéciale réservée aux développeurs. Le rootkit est distribué via un téléchargeur, qui tente également d’installer d’autres logiciels malveillants.

Pour l'occasion, Kaspersky Lab rappelle que les rootkits sont des programmes malveillants qui se présentent généralement sous la forme de pilotes (drivers) et peuvent s’exécuter au niveau du noyau d’un système d’exploitation en se chargeant en mémoire au moment du démarrage de l’ordinateur, ce qui rend leur détection difficile par les outils de protection habituels. Les rootkits en question sont propagés par l’intermédiaire d’un téléchargeur, exploitant un ensemble de fonctions malveillantes regroupées sous l’appellation « BlackHole Exploit Kit ». Typiquement, les ordinateurs infectés sont ceux des internautes qui se rendent sur des sites Web contenant le téléchargeur qui infecte les systèmes Windows 32 bits et 64 bits avec l’un des deux rootkits correspondants.

« Le pilote 64 bits porte une sorte de signature numérique de test. Si Windows – Vista ou ultérieur – est amené à démarrer en mode TESTSIGNING, des applications peuvent lancer les pilotes comportant ce type de signature. Il s’agit d’une porte d’entrée spéciale que Microsoft a ménagée pour les développeurs de pilotes afin que ceux-ci puissent tester leurs créations. Des cybercriminels ont mis à profit cette faille qui leur permet de lancer leurs pilotes sans disposer d’une signature légitime », explique Alexander Gostev, expert en sécurité chez Kaspersky Lab. « Il s’agit d’un nouvel exemple de rootkit qui n’a pas besoin de contourner le système de protection PatchGuard intégré aux plus récents systèmes Windows x64. »