Un rootkit est un ensemble d’outils (programmes) qui permettent un accès de niveau administrateur à un ordinateur ou à un réseau informatique. En général, un pirate installe un rootkit sur un ordinateur après avoir obtenu un accès au niveau utilisateur, soit en exploitant une vulnérabilité connue, soit en craquant un mot de passe. Une fois le rootkit installé, il permet à l’attaquant de masquer l’intrusion et d’obtenir un accès root ou privilégié à l’ordinateur et, éventuellement, à d’autres machines du réseau.

Un rootkit peut être constitué de logiciels espions et d’autres programmes qui : surveillent le trafic et les frappes au clavier ; créent une “porte dérobée” dans le système à l’usage du pirate ; attaquent d’autres machines sur le réseau ; et modifient les outils système existants pour échapper à la détection.

Pour le meilleur logiciel antivirus équipé de rootkit que vous pouvez acheter aujourd’hui, c’est Bitdefender professionnel pour un usage personnel ; qui vous offre une excellente protection contre les logiciels malveillants, un ensemble complet de fonctionnalités supplémentaires et une interface facile à utiliser.

Mais voyons ensemble comment fonctionne l’analyse antivirus des rootkits.

Détection des rootkits

Les technologies de rootkit apparaissent rapidement à divers endroits, y compris dans les produits de sécurité commerciaux et les extensions d’applications tierces apparemment bénignes. Trouver et supprimer les installations de rootkits n’est pas une science exacte. Ils peuvent être installés sur un ordinateur de plusieurs façons. Aucun outil (ni aucune combinaison d’outils) ne peut identifier correctement ce type d’attaque et les comportements propres à ceux des rootkits.

Recherchez dans la mémoire de votre système. Surveillez tous les points d’entrée d’un processus lorsqu’il est invoqué, en gardant une trace des appels de bibliothèque importés (à partir de DLL) qui peuvent être accrochés ou redirigés vers d’autres fonctions, en chargeant des pilotes de périphériques, etc. L’inconvénient de cette approche est qu’elle est fastidieuse, longue et qu’elle ne peut pas prendre en compte toutes les possibilités d’introduction d’un rootkit dans le système.

Cherchez la vérité — exposez la malhonnêteté des API. Une bonne application de détection des rootkits pour Windows est le RootkitRevealer des analystes de la sécurité Windows Bryce Cogswell et Mark Russinovich. Ce minuscule binaire (190 Ko) recherche les emplacements des systèmes de fichiers et les répertoires de la base de registre, à la recherche d’informations cachées de l’API Windows, de la table des fichiers maîtres et de l’index des répertoires. En outre, Jamie Butler, auteur du livre professionnel très recommandé “Subverting the Windows Kernel : Rootkits”, a créé un outil appelé VICE, qui traque systématiquement les crochets dans les API, les tables d’appel et les pointeurs de fonction.

RootkitRevealer peut prendre un certain temps car il effectue une recherche exhaustive. D’abord, il vide les ruches de registre, puis il examine l’arborescence du répertoire C : pour les sources et signatures de rootkits connues, et enfin il effectue une analyse rapide de l’ensemble du volume C :.

Tenez-vous au courant des derniers logiciels de protection contre les virus et les trojans des principaux fournisseurs d’KIvirus et de sécurité. Sysinternals et F-Secure proposent des outils autonomes de détection des rootkits (RootkitRevealer et Blacklight, respectivement). Même Microsoft a mis en place des fonctions de détection des rootkits dans son propre outil Windows Defender.

Mettez à jour la protection de votre pare-feu. N’oubliez pas que pour que le processus de dissimulation soit efficace pour un attaquant potentiel, il est vital que le pirate puisse revenir sur une machine une fois qu’elle a été compromise. Bien que les pares-feux ne fassent rien pour atténuer les risques au niveau des applications, ils peuvent poser un défi important aux attaquants lorsqu’ils interdisent la réintroduction dans une machine victime.

Si possible, renforcez votre poste de travail ou votre serveur contre les attaques, cette mesure proactive empêche un attaquant d’installer un rootkit. La National Security Agency publie une directive sur le durcissement des environnements Windows, qui constitue un excellent point de départ pour vous informer sur les mesures préventives contre les intrusions dans le système.

Y a-t-il un problème de rootkit ?

Tout d’abord, vous devez déterminer s’il y a un problème. Pour déterminer s’il y a vraiment un rootkit qui opère en coulisse, utilisez un analyseur de processus système tel que ProcessExplorer de Sysinternals ou, mieux encore, un analyseur réseau. En utilisant ces outils, vous serez probablement surpris de découvrir ce que font les programmes et ce qui entre et sort de votre adaptateur réseau. Vous pouvez également découvrir que vous avez simplement un système surchargé fonctionnant avec trop peu de mémoire ou un disque dur très fragmenté. En gardant cela à l’esprit il est recommandé de vérifier la configuration de votre système et de défragmenter votre (vos) disque(s). N’oubliez pas, cependant, qu’il vaut mieux être prudent que désolé, alors lancez également une analyse des rootkits.

Choisir le bon outil de détection des rootkits

Pour commencer à scanner, il vous faut les bons outils. Il existe plusieurs outils d’analyse des rootkits. Le RootkitRevealer de Sysinternals est un scanner gratuit très populaire. Il fonctionne en comparant les services fonctionnant au niveau de l’API Windows avec ce qui apparaît au niveau des données brutes sur le disque dur de l’ordinateur.

Le seul aspect négatif de RootkitRevealer est qu’il ne nettoie pas ce qu’il trouve. Ses instructions vous disent de chercher sur le Web des instructions de suppression ou de reformater votre disque et de réinstaller Windows. Aïe. Un autre outil gratuit (au moins jusqu’en janvier 2007) pour l’analyse est F-Secure BlackLight.

Pour utiliser BlackLight, il suffit de le télécharger et d’exécuter le fichier exécutable. Il analysera vos lecteurs locaux, mettra en évidence ce qu’il a trouvé et vous permettra de nettoyer ce qu’il trouve. Il cache presque tout à l’utilisateur, mais il est très rapide et très facile à utiliser. Vous devriez absolument le consulter.

Sophos Anti-Rootkit est un autre outil d’analyse des rootkits proposé par un concurrent de F-Secure. L’Anti-Rootkit comporte une routine d’installation et vous devez ensuite exécuter manuellement l’exécutable. Il permet une plus grande interactivité avec l’utilisateur que BlackLight, mais il est plus lent à analyser votre système. Il existe plusieurs autres scanners de rootkits, dont Rootkit Hook Analyzer, VICE et RAIDE.