44 replies to this topic

[loumax]

Rootkits sous Windows version 64 bit.
Evolution de « Blue Screen of Death »

Une première variante du rootkit « Blue Screen of Death » avait déjà infecté des milliers de PC en février dernier.
Ayant causé de sérieux dommages, Microsoft réagit et publia une mise à jour provocant le crache de certaines machines sous Windows 32 bit.
Accusation portée par PrevX et démentie par Microsoft.

L'utilisateur d'un OS version 64 de Windows pouvait se croire à l'abri, ce temps est révolu, le rootkit a réussi à passer les défenses du kernel et infecte le secteur de boot du disque dur.
Ce rootkit est entré dans l'histoire comme la première infection sur Windows 64.

Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits

Les deux protections majeurs des systèmes 64 de Windows que ce rootkit arrive à franchir :
1) Kernel-Mode Code Signing, qui exige que tous les logiciels ou drivers qui tente de s'exécuter soient signés numériquement, avant autorisation en mode Kernel.
2) Kernel Patch Protection ou "PatchGard" protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.

Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers

Chez PrevX l'idée serait, que d'un TDL3 on aurait adapté une plate-forme de rootkit pour X64, en y ajoutant une technique d'infection bootkit.
Il semblerait que les rootkits de ce type resteraient quasiment indétectables par les antivirus actuels.

Blog de PrevX ou de plus amples informations sont disponibles.

Les chercheurs de chez Symantec, ont à leur tour confirmés l'exploit et précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du DD, ce qui rend plus difficile leur détection et suppression une fois l'OS infecté.

Cela prouve une fois de plus, qu'aucun système n'est à l'abri d'une infection !

[EboO]

C'est pas vraiment surprenant malheureusement.
Le problème c'est cette facilité qu'ont les rootkits à passer à travers les mailles des antivirus :(

[loumax]

C'est pas vraiment surprenant malheureusement.

Pour celui qui s'intéresse de près à la sécurité peut-être pas (pour l'esprit ouvert et non sectaire), mais je peux t'assurer que certains maintiennent "dur comme fer"que l'utilisateur d'un Windows X 64 est à l'abri de ce genre d'attaque et le disent haut et fort à qui veut bien les écouter !
Par le fait c'est ce qui m'a poussé à ouvrir ce sujet, les Windows X 64 sont mieux protégés de pare leurs conceptions évolutives que les systèmes X 32, mais tout le monde doit prendre conscience des risques qui maintenant sont bien réels.

Le problème c'est cette facilité qu'ont les rootkits à passer à travers les mailles des antivirus :(

Là encore je pense que chez Microsoft ils savaient peut-être même avant la sortie officielle de leur système X 64, que leur avance serait d'une courte durée.
L'évolution de ce "TDL3" était logique, les attaques sur le MBR de 'bootkit" étaient bien connus à l'époque, donc je pense qu'il n'était pas sorcier pour les chercheurs de chez Microsoft d'extrapoler un peu, pour deviner ce qu'il se passerait !

[EboO]

Je suis tout à fait d'accord avec toi. Je pense qu'il faut être réaliste et qu'aucun système ne sera jamais fiable et sécurisé à 100%
Ca me fait penser à un topic sur online armor : un gars se plaignait qu'il pouvait se faire kill, un des modos lui répond que s'ils protègent trop OA ils risquent de rendre le système instable. C'est un exemple parmi d'autres mais la sécurité ça se fini toujours par le serpent qui se mord la queue, résultat on fait machine arrière et on sécurise moins.

[loumax]

Autre lien de chez Bitdefender labs qui explique et résume asses bien, les attaques de rootkits sur les systèmes X 64.

http://labs.bitdefen...he-past-32.html

[Darksky]

Et il fallait surtout s'y attendre, ne fut-ce que par le fait que maintenant, avec Windows 7, de plus en plus de pc tournent en X64.

C'est comme pour tout, plus un produit est répandu, plus il sera intéressant pour les concepteurs de virus (dans ce cas) de trouver le moyen de faire les logiciels malveillants qui puissent l'attaquer.
Un OS en X64 est certes plus compliqué à infecter de cette manière, de par sa conception, mais ils trouveront toujours une faille quelque part pour le rendre vulnérable.

Ensuite, le plus inquiétant, c'est la difficulté qu'ont encore les antivirus à détecter les rootkits. D'autant plus que même en étant prudent, il est difficile de détecter leur action "visuellement".
Il faut donc espérer pouvoir se tourner vers des outils tierces afin de les détecter, ou croiser les doigts pour que Microsoft et les éditeurs d'AV corrigent le tir au niveau et de l'installation, et de la détection.

[EboO]

Je suis d'accord, les rootkits passent et les av n'arrivent pas ou difficilement à s'affranchir du patchguard. Les seuls qui y arrivent c'est les méchants, c'est con...

[loumax]

Quelques antirootkits fonctionnant sous Windows X64 :

http://www.sophos.co...-download-free/
http://www.resplendence.com/sanity
http://www.greatis.com/unhackme/
http://www.f-secure....ols/blacklight/


Quelques autres compatibles sur cette page :
http://www.techsuppo...Selection_Guide

[visualbasic]

HitmanPro peut les detecter je pense.

[loumax]

Bien vu visual !

[EboO]

J'avais essayé hitman pro il y a pas mal d'années et il m'avait foutu le boxon dans le pc.
Comment ça marche maintenant ? Il installe toujours tous les logiciels ou il utilise les moteurs avec sa propre base de donnée (cloud j'ai vu) ?
A terme peut-on espérer voir apparaître gmer en 64 bits ?

[loumax]

J'avais essayé hitman pro il y a pas mal d'années et il m'avait foutu le boxon dans le pc.
Comment ça marche maintenant ? Il installe toujours tous les logiciels ou il utilise les moteurs avec sa propre base de donnée (cloud j'ai vu) ?
A terme peut-on espérer voir apparaître gmer en 64 bits ?

Pour Hitman Pro l'installation est légère et rapide, et les analyses toutes aussi rapides (avantage du "cloud") avec un taux de détection vraiment bon.
Si maintenant il arrive à détecter les TDL3, on peut dire qu'il a une longueur d'avance sur ses concurrents !
Dommage que la version complète ne soit gratuite qu'un mois, passé ce délais la désinfection est payante (sauf pour les cookies), mais le scanner conserve toutes ses fonctions de détection.

Pour Gmer il est compatible seven X32, savoir s'il le sera pour les systèmes X64 c'est autre chose, leur dernière version date de mars 2009.
Comme leur technologie est employée par Alwil depuis 2008 de là, à penser qu'ils travaillent plus ou moins ensemble il n'y a qu'un pas !

Perso en ce moment j'emploie SanityCheck (anti-rootkit) sur mon seven X64, simple claire et efficace !

[EboO]

En détection de malwares les références sont donc Mbam et hitman pro ? J'ai EEK mais là ça va faire beaucoup...
Hitman pro n'installe plus tous les logiciels alors ? (parce que j'ai pas envie de me retrouver avec 50 programmes en plus) Et il existerait une version portable ?
Sinon tu as un lien pour safetycheck stp ? Sophos a aussi un soft antirootkit.

[loumax]

SanityCheck
http://www.resplendence.com/downloads
Tu avais déjà le lien ici.
L'anti-rookit de sophos je ne le trouve pas terrible, par contre celui de Prevx semble être doté d'une protection sur le MBR en temps réelle, à voir ...

Hitman Pro est un " cloud scan " il n'installe qu'un module pour pouvoir s'exécuter, et pour répondre à ta question tu peux l'exécuter à partir d'une clé USB.
http://www.surfright.nl/en/hitmanpro
En ce qui concerne les rootkits Hitman Pro semble bien les détecter voir ici.

[EboO]

Merci pour tous ces liens

Je vais m'orienter vers prevx pour l'ark alors.
Hitman pro est un peu plus efficace qu'EEK alors (je vois qu'il a les 2 moteurs d'Emsisoft antimalware)

[loumax]

Je vais m'orienter vers prevx pour l'ark alors.

J'ai testé la version free, elle ne désinfecte rien à part les cookies !
En protection temps réelle, elle regarde passer en te le signalant et c'est tout !
Juste bon à te dire si tu es infecté ou non, mais son taux de détection n'est pas mauvais.
Seul "Safeonline" arrive de temps en temps à bloquer une page malveillante.

Hitman pro est un peu plus efficace qu'EEK alors (je vois qu'il a les 2 moteurs d'Emsisoft antimalware)

Ce qui est sûr, c'est qu'il ne peut pas être moins efficace !

[EboO]

Bon si prevx est nul il reste quoi de potable et qui analyse le MBR ?
Je croyais qu'EEK était une référence ?
Sur les screens de hitman pro (sur le site) les moteurs de recherche ne sont pas les mêmes que dans la version dl (alors que c'est la même) ??? (sur les screens c'est gdata, antivir, nod32, a squared et prevx et là j'ai ikarus, prevx, gdata, a squared et dr web : problème de licence ?)

[visualbasic]

Malwarebytes est fiable

[EboO]

Malwarebytes est fiable

Certes mais détecte-t'il les rootkits sur un OS 64 bits ?

EDIT : question subsidiaire : mettre un mot de passe pour son antivirus ou son hips renforce-t'il ses capacités contre les arrêts ?

[loumax]

Certes mais détecte-t'il les rootkits sur un OS 64 bits ?

EDIT : question subsidiaire : mettre un mot de passe pour son antivirus ou son hips renforce-t'il ses capacités contre les arrêts ?

Il en détecte, mais il peut aussi passer à coté, pour décupler ses chances de détection le mieux serait de faire un scan croisé, c'est à dire d'un système installé sur un autre DD.
Un rootkit inactif est deux fois plus vulnérable, puisqu'il ne pourra pas se cacher.

Le meilleur moyen pour détecter et éradiquer les rootkits-maliciels installés dans un système serait de contrôler celui-ci à partir d'un autre système d'exploitation installé sur le même ordinateur (multiboot), sur un CD/DVD (LiveCD) ou tout autre périphérique bootable.
En effet, un rootkit ne peut pas cacher sa présence s'il n'est pas actif. A partir d'un système d'exploitation de secours, les éléments malins que le rootkit prétend cacher pourraient être détectés et éradiqués par un antivirus ordinaire s'il était bien renseigné ou même « manuellement » par celui qui connaîtrait leurs implantations.

Pour ce qui est des mots de passes, excuse je ne comprend pas ta question.

[EboO]

Bonne nouvelle pour le livecd : j'ai OTLPE sur un cd, ça peut toujours servir.
Concernant le mot de passe en fait je voulais savoir si le fait de mettre un mot de passe (quand le logiciel le propose) pour l'antivirus par exemple permettait de mieux se prémunir contre un logiciel malveillant qui l'attaquerait. Je m'explique : quand je veux fermer un module d'antivir je suis obligé de taper un mot de passe, ce qui me semble-t'il est une garantie supplémentaire d'auto-protection. Je demande confirmation

[loumax]

Bonne nouvelle pour le livecd : j'ai OTLPE sur un cd, ça peut toujours servir.
Concernant le mot de passe en fait je voulais savoir si le fait de mettre un mot de passe (quand le logiciel le propose) pour l'antivirus par exemple permettait de mieux se prémunir contre un logiciel malveillant qui l'attaquerait. Je m'explique : quand je veux fermer un module d'antivir je suis obligé de taper un mot de passe, ce qui me semble-t'il est une garantie supplémentaire d'auto-protection. Je demande confirmation

Apparemment les mots de passe sur un antivirus servent à préserver les paramétrages et éviter la désactivation (un peu comme les droits d'administrateur sous Windows), mais pour Antivir (à vérifier) je ne pense pas qu'il ait besoin de mots de passe pour s'auto protéger.

[visualbasic]

mbam peut cure le mbr infecté, suffit de safe mode

[EboO]

Ah voilà des bonnes nouvelles !
Merci à vous 2.

[loumax]

mbam peut cure le mbr infecté, suffit de safe mode

Il n'est pas évident même en mode sans échec que Malwarebytes détecte un TDL3 sur un système X64.
Par contre Malwarebytes si ma mémoire est bonne (visual tu pourras confirmer) intègre le détecteur de rootkit de Gmer (comme Avast).

Si quelqu'un a un lien à proposer sur le fait que Malwarebytes détecte les rootkits sur les systèmes X64, cela pourrait être intéressant !

[visualbasic]

Je ne pense pas que ils utilisent gmer pour leur antirootkit.
une petite note les rootkit 64bits n'infecte pas un utilisateur avec un uac activé, ou des droits restreints.

The installer needn't be x64 but then again, it's not really that hard for the baddies to compile the installer as a x64 executable. All it needs to do is write to the mbr (and raw disk) and then cause the machine to hard boot. Both the mbr and the files written to raw disk are outside of the operating system. When machine next boots, mbr loads the driver from raw disk before transferring control back to the OS. The OS cannot enforce driver signing on a file outside of it's control. PatchGuard wasn't defeated/broken; just bypassed.^

de subs ( research engineer chez malwarebytes ) et le createur en autre de combofix.

Ce message a été modifié par visualbasic - 09 novembre 2010 - 21:03 .

[loumax]

Je ne pense pas que ils utilisent gmer pour leur antirootkit.

MalwareByte 's Anti-Malware s'est révélé être un must pour désinfecter les ordinateurs ! Il intègre les signatures des derniers Malwares* avec une rapidité démontrant le travail des laboratoires, et de plus, celui-ci intègre une détection heuristique très efficace contre les nouveaux Malwares* qui ne sont pas répertoriés dans les signatures. Il intègre également le détecteur de rootkit* de Gmer, une des meilleures technologies Anti-Rootkit*, et un module de suppression des fichiers bloqués par le système afin de supprimer les fichiers récalcitrants (FileAssassin).

Voir ici.

une petite note les rootkit 64bits n'infecte pas un utilisateur avec un uac activé, ou des droits restreints.

The installer needn't be x64 but then again, it's not really that hard for the baddies to compile the installer as a x64 executable. All it needs to do is write to the mbr (and raw disk) and then cause the machine to hard boot. Both the mbr and the files written to raw disk are outside of the operating system. When machine next boots, mbr loads the driver from raw disk before transferring control back to the OS. The OS cannot enforce driver signing on a file outside of it's control. PatchGuard wasn't defeated/broken; just bypassed.^

de subs ( research engineer chez malwarebytes ) et le createur en autre de combofix.

Je te suggère de retourner lire la première page de ce sujet.

[loumax]

Ensuite de lire ceci, comment contourner l'uac manuellement (si tu y arrives ce dont je ne doute pas, pourquoi les concepteurs de malwares n'y arriveraient-ils pas ?).
Et pour finir un article de Sophoslabs.
Traduction de la citation de visualbasic:

Le programme d'installation ne doit pas être x64, mais là encore, ce n'est pas vraiment difficile pour les méchants pour compiler le programme d'installation comme un exécutable x64. Tout ce qu'il doit faire est d'écrire le MBR ( disque brut) et, enfin, entraîner la machine à démarrer . Tant le MBR et les fichiers écrits sur le disque premières sont en dehors du système d'exploitation. Lors du démarrage de la machine suivant, MBR charge le pilote de disque de données brutes avant de transférer le contrôle à l'OS. Le système d'exploitation ne peut pas appliquer la signature du pilote sur un fichier en dehors de ce contrôle. PatchGuard n'a pas été défait ou cassé, il suffit de contourner .

[EboO]

Et ben là s'il trouve à redire !

[visualbasic]

^^ on pêut toujours avoir tors, mais bon l'uac n'est pas " bypass " il est juste contourner