Malware City/Blog/

Dec
30
Classé sous:
DIVERS

Un nouvel outil de Bitdefender permet la désinfection de bootkits

30 décembre 2011
Les bootkits, ces e-menaces élaborées ciblant les PC, existent depuis Windows 2000 et ont fait l’objet d’un développement régulier afin de contourner les mécanismes de sécurité des systèmes d’exploitation. Ils sont devenus l’un des malwares les plus dangereux et les plus puissants car ils corrompent le système au niveau le plus basique.

 

Il va sans dire qu’une infection par bootkit peut affecter considérablement la sécurité des utilisateurs. La désinfection des bootkits reste extrêmement délicate puisque ces derniers se trouvent à l’extérieur du système de fichiers et peuvent ainsi manipuler les vérifications de sécurité en renvoyant une copie du MBR (Master Boot Record) d’origine, lorsqu’un antivirus ou un autre utilitaire légal s’exécute sur le système d’exploitation corrompu.

C’est pourquoi Bitdefender a développé un outil capable de détecter et de supprimer toutes les variantes connues de bootkits. Cet outil est disponible gratuitement dans la section « Downloads » de Malware City et peut être utilisé à la fois sur les systèmes 32 et 64 bits de Windows.

Rootkits : de quoi s’agit-il ?

Les rootkits sont spécialement conçus pour masquer la présence d’autres fichiers ou processus sur le système en trompant les techniques de détection. Les pilotes en mode noyau s’exécutent avec des privilèges plus élevés sur le système corrompu, ils permettent alors aux malwares d’accéder aux zones critiques du système d’exploitation.

Bien qu’extrêmement puissants, les rootkits ont leur limite. Ainsi, les mesures de sécurité des systèmes d’exploitation 64 bits les empêchent de s’installer s’ils ne possèdent pas de signature numérique valide. En somme, au début de l’initialisation du système d’exploitation, des vérifications de sécurité différencient les rootkits bénins (par exemple, les mécanismes de défense antivirus) et malveillants et empêchent ces derniers d’infecter les machines 64 bits.

Le bootkit… un rootkit dopé aux stéroïdes

C’est alors qu’interviennent les bootkits. Ce sont des rootkits spécifiques qui chargent leur code à partir d’une zone spécifique du système, le MBR (secteur de démarrage principal). Celui-ci a le contrôle complet une fois que le BIOS a délégué le périphérique de boot approprié. Le MBR est chargé de l’initialisation du chargeur du système d’exploitation, qui charge par la suite le noyau, vérifiant si un pilote en mode noyau 64 bits dispose d’une signature numérique. Si ce n’est pas le cas, le pilote ne peut pas être chargé, ce qui bloque l’infection par rootkit à un stade précoce. Cependant, si le MBR est corrompu, le bootkit est alors capable de passer outre les contrôles des signatures numériques du noyau, dernier rempart contre le chargement d’un rootkit non autorisé en mode noyau. C’est le cas du célèbre rootkit TDL 4 qui peut facilement corrompre les systèmes 32 et 64 bits.

Toutes vos données à leur portée

Le chiffrement de l’ensemble du disque dur est considéré comme la norme de facto pour protéger des informations confidentielles telles que des rapports de ventes, des données de propriété intellectuelle, des prototypes et d’autres éléments critiques d’une entreprise. Cependant, la plupart des modules de déchiffrement de disque dur sont conservés décryptés dans la zone du MBR, ce qui signifie que toutes les données du disque concerné peuvent être déchiffrées par le rootkit.

Nous remercions l’Équipe Antirootkit de Bitdefender pour cet outil.





Par Bogdan Botezatu
Bogdan ne croit que ce qu’il peut démonter en petites pièces et inspecter minutieusement. Sa passion pour l’écriture et son obsession du détail font partie des ses plus grandes qualités.

Autres articles

14-12-2011 | L’outil gratuit pour éradiquer les 100 malwares de novembre est enfin disponible

13-12-2011 | Ne tirez pas sur l'ambulance !

09-11-2011 | Un outil gratuit pour défier les 100 malwares de l’automne

20-10-2011 | Et la iPlanète s’immobilisa... un instant

Comments:

pleurer2rire a commenté Jan-3-2012 05:30

je vais de ce pas tester ce logiciel en espérant qu'il ne trouvera rien sur mon pc

booya_2K a commenté Jan-12-2012 21:47

pas encore tester j'attend de voir son oeuvre..

lemoine a commenté Feb-2-2012 06:01

Ce logiciel n'existe pas chez bitdefender.... Donc prudence !

martin a commenté Feb-3-2012 09:00

WARNING
C'EST DES VIRUS QUI SONT INSTALLES PAR CES SOFTS, QUI SONT:

Gen:Heur. VIZ. 2
Trojan. Zlob. 2.Gen

NE TELECHARGEZ PAS CETTE SALOPERIE ET OUBLIEZ CE SITE MALICIEUX!!!!

Bogdan Botezatu a commenté Feb-3-2012 09:09

@Martin: you're joking, right?

Take a look at the Virustotal analysis for the two removal tools listed here:

https://www.virustotal.com/file/78b47db594d9010e45ec880e2411b296123d2d61f1a3faf2f51f4ba02f0f82d5/analysis/ (x64)

https://www.virustotal.com/file/050de073d85950b5870e5cf2a00804c52854c47d8a34265e29af4231ba1fd703/analysis/1328281456/ (x32)

Also, please note that the tools are DIGITALLY SIGNED by Bitdefender.

Thanks,
Bogdan.

Samya de Bitdefender a commenté Feb-7-2012 06:56

Bonjour @ tous !
@ Lemoine et Martin, ce logiciel éradique les bootkits, en aucun cas il ne répand des malwares ! Et cet outil a été créé par le laboratoire Bitdefender (comme l'indique la signature numérique).

Commentez

Nom:

E-mail:

Site Internet:

Votre adresse e-mail ne sera pas publiée