Les professionnels et les passionnés de la sécurité connaissent les rootkits, mais le grand public ne connait pas ce type de malware qui est surtout conçu pour se cacher dans un système infecté. Mais cette menace malveillante vaut la peine d’être connue du public car il a de grandes chances de la rencontrer un jour. Les cyber criminels développent constamment de nouvelles méthodes pour voler vos données et ils vendent activement ces méthodes à d’autres.
Leur capacité à pouvoir se cacher permet aux malwares de rester dans le système de leurs victimes pendant des mois et même des années, permettant ainsi aux pirates informatique d’utiliser les ordinateurs pour faire ce qu’ils veulent. Même si l’ordinateur ne contient pas d’informations de valeur (ce qui est peu probable), il pourra toujours être utilisé pour produire de la monnaie électronique (« bitcoins »), pour envoyer des courriers indésirables et participer à des attaques DDoS.
La fonctionnalité rootkit permet de cacher des activités malveillantes
Non pas seulement aux outils de surveillance intégrés dans le système d’exploitation, mais aussi aux détecteurs de virus et au pare-feu.
C’est pourquoi nous vous conseillons de vérifier si votre logiciel anti virus dispose d’une fonctionnalité anti rootkit et d’en vérifier également l’efficacité.
Qu’est-ce qui rend un rootkit invisible ?
Ce n’est pas si compliqué à expliquer : le malware essaie d’intégrer son code assez profondément dans la structure du système d’exploitation afin de pouvoir intercepter toutes les requêtes standard de lecture de fichiers, obtenir la liste des processus en cours d’utilisation, etc. Le rootkit analyse de telles requêtes et supprime toutes les mentions de fichiers, de processus et autres traces liés à son activité. D’autres techniques sont également utilisées, le rootkit peut, par exemple, injecter un code dans un processus légitime et utiliser celui-ci pour faire son sale boulot. Cela permet au rootkit de ne pas être détecté par les solutions anti virus les moins avancées qui travaillent sur les requêtes OS situées à des niveaux supérieurs et n’essaient pas d’aller plus en profondeur, jusqu’aux noyau et structures les plus profondes du système d’exploitation. Si l’anti virus réussi à détecter le rootkit, le virus pourrait essayer de désactiver la protection et de supprimer des composants anti virus critiques.
L’un des rootkits les plus avancés avait même élaboré une technologie d’appât
il avait créé un fichier spécial afin qu’ils soient détectés par l’anti virus. Dès que l’anti virus a accédé à ce fichier, le rootkit a essayé de désactiver ce dernier et de bloquer sa prochaine exécution.
Comment empêcher les rootkit de faire tout cela ?
Premièrement, pour détecter toute activité suspecte, l’anti virus doit surveiller les fichiers système situés à des niveaux inférieurs, afin de détecter les malwares qui essaient de modifier les structures du disque dur. De plus, il est possible de trouver de nouveaux rootkits, encore inconnus des anti virus, en comparant l’activité de l’ordinateur telle qu’elle est enregistrée au niveau du système d’exploitation avec les résultats de la surveillance à bas niveau. Deuxièmement, il est essentiel d’avoir une protection anti virus suffisante, afin que le malware ne puisse pas désactiver votre produit. Et enfin, l’anti virus doit supprimer 100% des composants du rootkit, même ceux injectés dans des fichiers critiques du système d’exploitation. Il est impossible de solutionner le problème en supprimant les fichiers, le système d’exploitation ne pourrait plus fonctionner, l’anti virus doit donc être capable de restaurer ces fichiers sans en affecter la fonction d’origine.
Assurez-vous donc que votre protection répond à ces nécessités avant de dire
je sais ce qu’est un rootkit et je suis sûr que mon anti virus me protège efficacement de cette menace malveillante.