Faire un don
ANNONCES

Bienvenue sur notre forum d'entraide informatique :youpie:
Notre équipe est là pour vous aider à régler vos problèmes informatiques.
Postez un message sur le forum pour expliquer votre problème,
vous obtiendrez une assistance efficace, gratuite et rapide (si les délais sont parfois un peu plus longs, c'est que nous avons beaucoup de demandes :ooops: ).

Si devenir "helper" vous tente, les inscriptions à notre école de formation sont ouvertes par intermittence. Suivez les instructions données sur cette page
NB : nous sommes en ce moment victimes d'une vague d'inscriptions malveillantes, et nous devons supprimer à tour de bras. Si vous êtes bien intentionnés, et victimes de ces suppressions, envoyez nous un mel de confirmation sur la boite des admins. Merci de votre compréhension

administrateurs(arobase)helper-formation.fr

N'hésitez pas à rendre une petite visite à nos partenaires, ça leur fera plaisir, et à nous aussi :D

Rootkits sous Windows système 64 bits

Rootkits sous Windows système 64 bits.

Messagepar loumax » Sam 9 Fév 2013 15:47

Rootkits sous Windows version 64 bit.
Evolution de « Blue Screen of Death »




Une première variante du rootkit « Blue Screen of Death » avait déjà infecté des milliers de PC en février dernier.
Ayant causé de sérieux dommages, Microsoft réagit et publia une mise à jour provocant le crache de certaines machines sous
Windows 32 bit.
Accusation portée par PrevX et démentie par Microsoft.

L'utilisateur d'un OS version 64 de Windows pouvait se croire à l'abri, ce temps est révolu, le rootkit a réussi à passer les défenses du kernel et infecte le secteur de boot du disque dur.
Ce rootkit est entré dans l'histoire comme la première infection sur Windows 64.

(Marco Giuliani @ chercheur en sécurité au sein de Prevx éditeur d'antivirus Anglais ) a écrit:Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits


Les deux protections majeurs des systèmes 64 de Windows que ce rootkit arrive à franchir :
1) Kernel-Mode Code Signing, qui exige que tous les logiciels ou drivers qui tente de s'exécuter soient signés numériquement, avant autorisation en mode Kernel.
2) Kernel Patch Protection ou "PatchGard" protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.

(M.Giuliani) a écrit:Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers


Chez PrevX l'idée serait, que d'un TDL3 on aurait adapté une plate-forme de rootkit pour X64, en y ajoutant une technique
d'infection bootkit.
Il semblerait que les rootkits de ce type resteraient quasiment indétectables par les antivirus actuels.

Blog de PrevX ou de plus amples informations sont disponibles.

Les chercheurs de chez Symantec, ont à leur tour confirmés l'exploit et précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du DD, ce qui rend plus difficile leur détection et suppression une fois l'OS infecté.

Cela prouve une fois de plus, qu'aucun système n'est à l'abri d'une infection !

Pour conclure je me permets cette citation, fort explicite ! :good:
malwarebleach a écrit:Le problème des plateformes 64 bits est que certains outils utilisés pour la désinfection ne sont pas encore compatibles. Cependant avec la démocratisation de sept et la multiplication de l'installation des plateformes 64 bits en particulier due à sa gestion de la RAM, cette tendance tend à s'inverser et ce très rapidement. Il est aujourd'hui possible de détecter un tel malware et de l'éradiquer. La plupart du temps il existe des solutions pour lutter contre les malwares, mais même si elles ne sont pas immédiates, ont peu compter sur le savoir faire des spécialistes et des plus férus en désinfection pour toujours trouver des solutions.
Malheureusement, dans la désinfection, au jeu du gendarme et du voleur, les pirates ont toujours une longueur d'avance. Le tout est de ne pas se laisser trop distancer.
"Celui qui aime à apprendre est bien près du savoir" (Confucius)
loumax
Helper
Helper
 
Messages: 464
Enregistré le: Jeu 2 Déc 2010 14:11
Firefox 18.0 Firefox 18.0
Windows Seven 64 bits Windows Seven 64 bits
Résolution d’écran: 1376 x 774 1376 x 774

Retourner vers Sécurité / Virus

 


  • Articles en relation
    Réponses
    Vues
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum : Aucun utilisateur enregistré et 5 invités