Le fantôme de l’OPERA par exemple, l’outil Rootkit Revealer de Sysinternals. Ce programme effectue deux balayages complets du système (fichiers et base de registre) en utilisant une fois les API Windows, puis une autre fois le niveau le plus bas du système. Il compare ensuite les deux résultats et affiche les différences. Ainsi, si un rootkit est présent, les informations cachées via l’API apparaîtront. Ce programme souffre malheureusement de limitations. Il risque d’afficher un certain nombre d’informations parasites dû au fait que certains processus écrivent continuellement dans la base de registre et engendrent donc des différences entre les deux balayages. En outre, il doit être démarré de manière manuelle et ne peut donc pas protéger en continu l’ordinateur. Finalement, il faut un certain niveau d’expertise pour interpréter les résultats. 2. Analyse de la machine à froid. En utilisant un CD qui démarre avec un autre système d’exploitation (Linux, Win PE,…), il est ainsi possible de lancer une analyse en profondeur du système suspect, sans que le rootkit puisse intercepter les outils utilisés. Il faut néanmoins que le rootkit soit connu dans les différentes bibliothèques des outils utilisés pour la traque. 3. Analyse de l’ordinateur de manière distante. Sur un réseau local, il suffit d’utiliser une machine ayant un outil d’analyse évolué (par ex VirusScan 8.0i, Kaspersky,…), de connecter le disque système de la machine que l’on soupçonne infecté, puis d’effectuer un balayage distant de cette machine. Si un rootkit est présent, il ne pourra pas influencer les API utilisées sur la machine effectuant l’analyse distante. Mais comme dans l’approche précédente, il faut que le rootkit soit dans les bibliothèques.
Éradication C’est là le point le plus critique, il est presque impossible de nettoyer complètement une machine ayant été compromise avec un rootkit. La meilleure méthode consiste donc en une réinstallation complète du système.
Si néanmoins vos connaissances informatiques sont élevées, vous pouvez tenter la méthode que j’expose ici. Une fois le rootkit démasqué par une des méthodes décrites précédemment: z Relevez tous les détails des fichiers détectés comme suspects. z Faites une recherche, distante ou à froid, de tous les fichiers ayant la même date et heure de modification/création. z Faites une recherche dans la base de registre en recherchant les entrées comportant le nom des fichiers trouvés. z Parmi tous les fichiers découverts, repérez celui qui est le fichier de configuration du rootkit. Il s’agit très souvent d’un fichier de type texte, énumérant les paramètres de fonctionnement du rootkit. Si vous avez trouvé le fichier de configuration, le plus difficile est fait. Ce fichier est le plus important, car il indique au rootkit quelles sont les choses que l’on veut cacher. C’est donc grâce à celui-ci que l’on va savoir ce qu’il faut supprimer. z renommez ou déplacez ce fichier; z déconnectez votre machine du réseau (pour ne pas laisser le pirate réagir) et ensuite redémarrez la machine compromise. Comme le rootkit ne trouvera plus son fichier de configuration, il ne cachera alors plus les éléments précédemment masqués. Il sera alors bien plus facile d’effectuer le nettoyage. En parcourant méticuleusement le fichier de configuration du rootkit, effectuez les opérations suivantes: z supprimez scrupuleusement tous les fichiers désignés comme devant être cachés; z supprimez également les entrées de la base de registre; z supprimez les services qui s’y trouvent. Votre machine, même si elle n’est pas aussi propre que si elle avait été réinstallée, devrait être maintenant débarrassée de la quasi totalité des programmes malveillants qui l’empoisonnait.
suffit de voir que même les plus grandes compagnies (SONY/BMG) ont parfois recours aux rootkits pour cacher leur système de protection de copie de CD. Aujourd’hui, un rootkit est encore déposé de manière manuelle suite à une intrusion sur une machine, mais on peut aisément imaginer les risques si un processus associait la vitesse et la capacité de propagation d’un vers/virus à la furtivité d’un rootkit ! Même si certains éditeurs de solutions de sécurité annoncent des fonctionnalités anti-rootkit dans leurs différents produits de protection, nous sommes en présence d’une réelle menace latente. Tous les outils de protection ne seront jamais aussi efficaces qu’un utilisateur prudent et bien informé. Il ne tient donc qu’à vous de ne pas croire en la totale immunité de votre système informatique et d’être vigilant lorsque vous utilisez un ordinateur.
Références z Le scandale du rootkit de Sony: http://www.sysinternals.com/ blog/2005/10/sony-rootkits-anddigital-rights.html z Un nouveau type de rootkit: http://www.pcinpact.com/actu/ news/30107-Decouverte-dun-nouveau-type-de-rootkit.htm z Rootkit Revealer de Sysinternals: http://www.sysinternals.com/Utilities/RootkitRevealer.html n
Et après… L’actualité est assez riche sur ce sujet et ne risque pas de se tarir. Il FI-spécial été – sécurIT – 28 août 2006 – page