Netactualité

L'éditeur en sécurité Sophos vient de mettre à disposition des internautes un logiciel de détection des rootkits, ces programmes dissimulés qui permettent, entre autres, à un pirate de conserver un accès vers une machine infectée et de camoufler ses activités. Destinés aux utilisateurs de Windows, il est accessible ici.

La principale particularité du rootkit est qu'il est capable de se dissimuler assez profondément au coeur du système d'exploitation. Sa détection et son éradication sont alors difficiles. La plupart des logiciels antivirus permettent de prévenir leur installation, mais une fois installé, un rootkit passe souvent inaperçu. Le phénomène serait relativement courant puisque selon les chiffres publiés par Microsoft à partir des statistiques de son outil de suppression des logiciels malveillants, 14% des ordinateurs, soit près de une machine sur six, serait touchés par un rootkit.

Le logiciel Sophos Anti Rootkit dispose d'une interface graphique sommaire permettant de visualiser la localisation d'un éventuel fichier douteux. Compatible avec Windows 2000, XP et Serveur 2003, il peut également être lancé depuis une ligne de commande.

Symantec et F-Secure viennent de révéler la présence sur la Toile du premier virus se présentant sous la forme d’un rootkit et ne provenant pas des laboratoires de sécurités. Nommé Backdoor.Rustock.A ou Mailbot.AZ, il ne se propage pas rapidement, mais il utilise de nouvelles techniques qui le rendre indétectable lorsque l’on utilise des scans conventionnels.

Pour rappel, un rootkit est un logiciel de bas niveau qui a pour principe de ne pas être détecté par le système d’exploitation. Normalement, il faut que l’antivirus analyse les processus en cours d’exécution comme le ferait Windows Task Manager, puis il faut les recompter à un niveau plus bas, si le nombre ne change pas, alors la machine est exempte de rootkit. Néanmoins, Backdoor.Rustock.A ne peut être détecté de cette manière, car il se dissimule dans les threads du kernel et des pilotes. Il arrive aussi à reconnaître les fois où un antivirus est lancé afin de modifier son comportement afin de ne pas être repéré.

En fait son code change constamment et il est donc difficile de retirer ce virus du système, même si ce n’est pas impossible, puisque F-Secure et Symantec ont publié des mises à jour censées pouvoir contrecarrer Mailbot.AZ. Une chose est sûre, Microsoft a intérêt à se cramponner, ce virus a déjà infecté des systèmes tournant sur la bêta de Vista.

Des chercheurs en sécurité de Kaspersky et de Trend Micro viennent semble-t-il de découvrir le premier virus « théoriquement capable » d'affecter les suites bureautiques OpenOffice.org et StarOffice, la première dérivant de la seconde, mise au point par Sun MicroSystems. Ce « proof of concept » baptisé Stardust et écrit en langage StarBASIC, exploite les macros des deux suites concernées. Transmis par l'intermédiaire d'un email comportant un document OpenOffice ou StarOffice en pièce jointe, il télécharge lors de son ouverture une photo d'une célèbre actrice de X et l'ouvre dans un nouveau document.

Les virus « proof of concept » sont généralement créés par des chercheurs pour démontrer l'existence d'une faille de sécurité et échafauder des hypothèses sur la façon dont des personnes mal intentionnées pourraient en profiter. Stardust se contente de télécharger et d'ouvrir une image pornographique, mais la faille qu'il utilise pourrait vraisemblablement être utilisée à des fins plus agressives.

Sun, qui édite la suite StarOffice et soutient le projet OpenOffice.org, n'a pas encore commenté cette découverte. Si cette annonce démontre la possibilité de tirer parti de certaines vulnérabilités dans le code de ces deux suites bureautiques, il n'y a pas lieu de s'alarmer dans la mesure où ces failles ne sont pas exploitées à l'heure actuelle. Elles démontrent cependant l'intérêt croissant des chercheurs, comme des pirates informatiques, pour des univers qui jusqu'ici paraissaient relativement épargnés, les virus étant traditionnellement destinés aux produits Microsoft, Windows et Office en tête.

Les chercheurs du FaceTime Security Labs viennent d'indiquer la découverte de ce qui constitue, à leur connaissance, le premier ver informatique capable d'installer son propre navigateur sur la machine infectée pour berner l'utilisateur. Ce ver, baptisé yhoo32.explr, se propage via la messagerie instantanée de Yahoo! et affecte Windows.

Une fois entré, yhoo32.explr installe son propre navigateur sur la machine, qu'il appelle sans malice aucune « Safety Browser », soit navigateur sécurisé. Ce dernier reprend l'icône utilisée par Internet Explorer, pour que l'utilisateur distrait lance plus facilement le logiciel et se présente d'ailleurs comme une surcouche d'Internet Explorer. Le ver va également modifier certains paramètres dans la base de registre pour que le navigateur de Microsoft s'ouvre par défaut, comme le « Safety Browser », sur un site nommé DemoPlanet. Les contenus proposés, des publicités aux liens hypertextes, y sont évidemment plus qu'hasardeux.

Yhoo32.explr s'arrange également pour qu'un son soit lancé en boucle à chaque démarrage du PC et tourne pendant un laps de temps défini aléatoirement. Enfin, il trouve moyen de se répliquer à destination de l'ensemble du carnet d'adresses Yahoo! Messenger.

Découvert par le spécialiste en sécurité informatique Sophos, le troyen Ransom-A menace sa victime de détruire un fichier toutes les 30 minutes sur sa machine jusqu'à ce qu'elle ait accepté de verser une rançon de 10,99 dollars au pirate à l'origine de l'attaque. Aussi incongru que cela paraisse, ce type d'attaques n'est pas une première et Sophos a même trouvé un qualificatif pour ce type de menace informatique : les « ransomwares ».

En mars dernier, l'éditeur avait déjà mis la main sur un troyen capable de crypter les données contenues sur la machine de l'utilisateur, et proposant de les décrypter en échange d'un virement de 300 dollars. La dernière trouvaille en date de Sophos est moins subtile, puisqu'il est ici question de destruction pure et simple, et moins exigeante, puisqu'elle se contente d'un peu plus de 10 dollars. La menace n'est qu'à moitié mise à éxécution puisque les données supprimées sont en réalité camouflées et cryptées sur le disque dur.

Après quelques images de nature pornographique, Ransom-A finit selon Sophos par afficher un message menaçant à sa victime : « Ecoute moi, enfo**é. Cet ordinateur est-il important ? Il vaudrait mieux qu'il ne le soit pas. Est-ce un ordinateur d'entreprise ? Il ne vaudrait mieux pas (..) », avant d'expliquer que des fichiers vont disparaitre tant qu'un code de désactivation n'a pas été entré. Pour obtenir ce code, il suffit simplement de transférer 10,99 dollars au pirate responsable de l'attaque via Western Union. Afin de déstabiliser encore plus la victime et lui ôter toute espoir de régler la situation, Ransom-A affiche un message moqueur lors du recours à la combinaison de touches CTRL + ALT + SUPPR.

De façon assez insolite, l'auteur de Ransom-A propose même une assistance par email à ses victimes qui éprouveraient des difficultés à le désinstaller après s'être acquitté de la rançon ! Plus sérieusement, de la même façon que les attaques de phishing s'appuient sur la naïeveté de certains internautes peu au fait des usages sur Internet, cette tentative de rançon par troyen interposé montre que les pirates ne sont jamais à court d'idées.