Les virus se mettent au camouflage
5 participants
Page 1 sur 1
Les virus se mettent au camouflage
Par Philippe Richard, 01net.
Les pirates cherchent toujours à avoir un coup d’avance sur les logiciels de sécurité. Pour échapper à ces derniers, ils appliquent désormais la technique du camouflage. Même s"il n"est pas complètement nouveau - les premiers cas remontent à 2002 -, le procédé s"avère de plus en plus sophistiqué.
La nouvelle arme porte le nom de « rootkit polymorphe ». Derrière cette inquiétante expression se cache deux procédés que l"on peut qualifier de « diaboliques ». D"abord, le rootkit : c"est un programme, ou un ensemble de programmes, permettant à une personne de prendre le contrôle d"un ordinateur et d"y dissimuler ses activités malveillantes (voler des données personnelles, faire du PC une machine à spam...). Pour s’immiscer dans le disque dur, le pirate s"est servi d"un cheval de Troie, par exemple. Le terme « polymorphe » signifie que le rootkit peut prendre une apparence anodine pour ne pas être repéré. Pour cela, le virus peut-être codé (par une technique de chiffrement) ou ne pas porter la signature répertoriée d’un virus. L"objectif est de ne pas être repéré par l’antivirus.
« Terrible menace »
Ces deux propriétés viennent d’être repérées par Symantec et F-Secure. Le rootkit« Backdoor.Rustock.A » est capable de se camoufler à l"intérieur d"un pilote Windows au format SYS, pour échapper à la vigilance des outils de protection. Selon Symantec, Rustock « cache tous les fichiers et les sous-clés de registre qu"il crée ».
Pour Patrick Pailloux, directeur central de la sécurité des systèmes d"information au Secrétariat général de la Défense nationale, « cette technique de furtivité va rendre les attaques de plus en plus invisibles et difficiles à détecter ». Philippe Brandt, chef du Centre opérationnel de la sécurité des systèmes d’information (Cossi) parle lui d"une « terrible menace ».
Terrible, car si le rootkit n"est pas repéré par l"antivirus – situation d"autant plus probable qu"il masque bien son identité –, les dommages peuvent être importants : caché dans les entrailles de la machine, il permet au pirate d"en prendre le contrôle total et peut empêcher l’action d’un antivirus ou d’un autre programme installé. « Les rootkits ne sont en général pas détectés et traités par la quasi-totalité des produits [de sécurité, NDLR] malgré ce qui est annoncé. Pour le moment, la gestion générique des rootkits est à attendre. Il vaut mieux se fier à des outils spécialisés comme RootkitRevealer de SysInternals », indique le lieutenant-colonel Eric Filiol, chef du Laboratoire de virologie et de cryptologie de l"Ecole supérieure et d"application des transmissions à Rennes.
Les pirates cherchent toujours à avoir un coup d’avance sur les logiciels de sécurité. Pour échapper à ces derniers, ils appliquent désormais la technique du camouflage. Même s"il n"est pas complètement nouveau - les premiers cas remontent à 2002 -, le procédé s"avère de plus en plus sophistiqué.
La nouvelle arme porte le nom de « rootkit polymorphe ». Derrière cette inquiétante expression se cache deux procédés que l"on peut qualifier de « diaboliques ». D"abord, le rootkit : c"est un programme, ou un ensemble de programmes, permettant à une personne de prendre le contrôle d"un ordinateur et d"y dissimuler ses activités malveillantes (voler des données personnelles, faire du PC une machine à spam...). Pour s’immiscer dans le disque dur, le pirate s"est servi d"un cheval de Troie, par exemple. Le terme « polymorphe » signifie que le rootkit peut prendre une apparence anodine pour ne pas être repéré. Pour cela, le virus peut-être codé (par une technique de chiffrement) ou ne pas porter la signature répertoriée d’un virus. L"objectif est de ne pas être repéré par l’antivirus.
« Terrible menace »
Ces deux propriétés viennent d’être repérées par Symantec et F-Secure. Le rootkit« Backdoor.Rustock.A » est capable de se camoufler à l"intérieur d"un pilote Windows au format SYS, pour échapper à la vigilance des outils de protection. Selon Symantec, Rustock « cache tous les fichiers et les sous-clés de registre qu"il crée ».
Pour Patrick Pailloux, directeur central de la sécurité des systèmes d"information au Secrétariat général de la Défense nationale, « cette technique de furtivité va rendre les attaques de plus en plus invisibles et difficiles à détecter ». Philippe Brandt, chef du Centre opérationnel de la sécurité des systèmes d’information (Cossi) parle lui d"une « terrible menace ».
Terrible, car si le rootkit n"est pas repéré par l"antivirus – situation d"autant plus probable qu"il masque bien son identité –, les dommages peuvent être importants : caché dans les entrailles de la machine, il permet au pirate d"en prendre le contrôle total et peut empêcher l’action d’un antivirus ou d’un autre programme installé. « Les rootkits ne sont en général pas détectés et traités par la quasi-totalité des produits [de sécurité, NDLR] malgré ce qui est annoncé. Pour le moment, la gestion générique des rootkits est à attendre. Il vaut mieux se fier à des outils spécialisés comme RootkitRevealer de SysInternals », indique le lieutenant-colonel Eric Filiol, chef du Laboratoire de virologie et de cryptologie de l"Ecole supérieure et d"application des transmissions à Rennes.
Re: Les virus se mettent au camouflage
ça devient flippant tout ça !!!
pouet pouet- Rue d'la Gouaille
-
Nombre de messages : 15907
Age : 43
Localisation : paris 18ème
Points : 6771
Date d'inscription : 29/01/2006
Re: Les virus se mettent au camouflage
ben, on n'est pas sauvé
sylviane106- Léoparleur
-
Nombre de messages : 9489
Age : 61
Localisation : tourcoing
Points : 7340
Date d'inscription : 08/09/2004
grognonjc- Les Mots qui Courent
-
Nombre de messages : 27492
Age : 68
Humeur : Mignon à croquer sans toucher avec les dents
Points : 11274
Date d'inscription : 08/10/2004
Rastalion69- Rue d'la Gouaille
-
Nombre de messages : 22654
Age : 56
Localisation : le cul sur ma chaise
Humeur : aucun me fait chiez
Points : 8776
Date d'inscription : 19/09/2005
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum
|
|