Le premier virus en rootkit
Symantec et F-Secure viennent de révéler la présence sur la Toile du premier virus se présentant sous la forme d’un rootkit et ne provenant pas des laboratoires de sécurités. Nommé Backdoor.Rustock.A ou Mailbot.AZ, il ne se propage pas rapidement, mais il utilise de nouvelles techniques qui le rendre indétectable lorsque l’on utilise des scans conventionnels.
Pour rappel, un rootkit est un logiciel de bas niveau qui a pour principe de ne pas être détecté par le système d’exploitation. Normalement, il faut que l’antivirus analyse les processus en cours d’exécution comme le ferait Windows Task Manager, puis il faut les recompter à un niveau plus bas, si le nombre ne change pas, alors la machine est exempte de rootkit. Néanmoins, Backdoor.Rustock.A ne peut être détecté de cette manière, car il se dissimule dans les threads du kernel et des pilotes. Il arrive aussi à reconnaître les fois où un antivirus est lancé afin de modifier son comportement afin de ne pas être repéré.
En fait son code change constamment et il est donc difficile de retirer ce virus du système, même si ce n’est pas impossible, puisque F-Secure et Symantec ont publié des mises à jour censées pouvoir contrecarrer Mailbot.AZ. Une chose est sûre, Microsoft a intérêt à se cramponner, ce virus a déjà infecté des systèmes tournant sur la bêta de Vista.