12 replies to this topic

[Neuromancien]

Salut!


Malwarebytes vient de sortir Malwarebytes Anti-Rootkit (MBAR) en version béta: http://www.malwareby.../products/mbar/
Explication et détails en Français chez Malékal: http://www.malekal.c...tkit-mbar-beta/

Source: Comme souvent le Shaarli de Sebsauvage: http://sebsauvage.net/links/?

[vigen]

Merci de l'info

[Neuromancien]

Je viens de tester, le scan est relativement rapide: Une petite douzaine de minutes pour un disque 150 Go.

[vigen]

Effectivement ce n'est pas excessif.

[noisette]

Merci de l'info !

Est-ce utile de scanner les partitions non-système d'après vous ?

[loumax]

Pour un antirootkit "pur" 12 mn c'est un peu long mais comme il ne détecte pas que les rootkits, on va dire que c'est raisonnable

Merci de l'info !

Est-ce utile de scanner les partitions non-système d'après vous ?

Tout dépend de ce que tu stocke sur ces partitions, dans certains cas ça peut l'être.

[Neuromancien]

Merci pour le déplacement!

[le barbier fou]

Merci beaucoup pour la nouvelle !

Contrairement à MBAM qui est uniquement dans une logique de suppression, Malwarebytes Anti-Rootkit a la particularité de désinfecter les fichiers contaminés, comme le souligne 3x0gR13N sur Wilders Security.

MBAM doesn't remove MBR/VBR based rootkits and patched drivers/code on privileged system files, as per the "we don't disinfect things" ideology MBAM is based on.

Et vu que la base de signatures de MBAM est aussi intégrée à MBAR (logiciel sans installation), n'est-ce pas là le début d'une version portable officielle de MBAM ?

[Txon]

Merci pour l'information Neuromancien !

En fait cet "antirootkit" semble être une extension de l'antimalware existant avec ses méthodes antivirales classiques : scan et contrôle à partir d'une base de connaissance. Bien entendu, c'est mieux que les versions antérieures mais ça demeure insuffisant.
Je n'ai trouvé là aucune des techniques qui ont fait la force des ARKs à l'ancienne comme IceSword, RkUnhooker , RootRepeal ... Ceux-ci analysaient le système en profondeur, en mémoire et sur le disque, à la recherche d'anomalies, de ''crochets'', de "distorsions".

Est-ce utile de scanner les partitions non-système d'après vous ?

En théorie, fort peu. En pratique, c'est mieux car certains vicelards sont capables de cacher des parties d'un rootkit à peu près n'importe où ... Les premières versions de Unreal utilisaient bien les Alternate Data Stream et un DKOM. Pourquoi ne pas utiliser des Alternate Data Stream présents sur une autre partition NTFS que celle du système ?

Voir ou revoir les méthodes d'intrusion/camouflage. Beaucoup sont toujours d'actualité, même sous Windows 7 / 8.

@+

[manzai]

Une petite vidéo démonstrative va arriver : MBAR face à une infection Zacces

[Plop]

ça c'est de l'info Neuromancien. Merci.

L’esthétique change un peu; plus moderne avec leurs logo à la Pacman. Pas mal.

Je me pose une question. Etant donnée que Malwarebytes fait expiré la licence de Mbar le 10 Décembre. Es une nouvelle licence payante?
Ce produit va t'il remplacer Mbam, vue qu'il contient la bdd de Mbam? j'ai un peu du mal à situer comment il va se placer à côté du produit Mbam Pro.

[loumax]

Tutoriel MBAR :
http://www.bleepingc...s-anti-rootkit/

Note :
Si l'outil supprime des drivers système infectés, il seront remplacés automatiquement par des copies saines.

Merci à Smart91 pour ces infos

[Neuromancien]

Hi!

 

Nouvelle version de MBAR 1.06 Bêta qui cible particulièrement une variante de ZAccess.

Explication et téléchargement: http://www.malwareby.../products/mbar/

 

 

Source: http://blog.malwareb...tkit-beta-1-06/

 

Ils précisent aussi que c'est une version Bêta et que vous utilisez à vos risques et périls.