Mon livre d’or
Bitdefender
|
Aweblook : Votre annuaire Généraliste
téléchargement zébulon
Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits
Page 1 sur 1
Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits
Je viens d'en apprendre une belle tiens
Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits, les experts évoquent le kit "le plus sophistiqué" du momen
Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit, les experts évoquent le kit "le plus sophistiqué" du moment
Le rootkit TDL, ou Alureon, s'en prends depuis plusieurs années aux versions 32-bit de Windows.
Or, depuis peu, l'outil semble avoir été modifié pour pouvoir se frotter aux versions 64-bit de l'OS.
Windows 7 64-bit a ainsi été exploité, malgré ses fonctionnalités de sécurité avancées, et surtout améliorées par rapport aux précédentes versions du système.
D'après le spécialiste en sécurité Prevx, la première attaque réussie se serait déroulée en août 2010. Pire, il s'agira du "plus virulent rootkit jamais vu".
Il est utilisé comme backdoor et installe des keyloggers et d'autres malwares sur les machines contaminées, puis il les met à jour lorsque cela est nécessaire. Très discret, il est de plus quasiment indétectable par la majorité des anti-virus. Même les white hat hackers ont du mal à le repérer.
Un rapport publié hier par GFI Software donne plus de détails quant à son mécanisme d'intrusion dans les versions 64-bit de Windows : le rootkit le plus récent (TDL4) s'infiltre dans le noyau de l'OS de Microsoft en faisant fi de son "kernel mode code signing policy" (qui permet uniquement aux drivers signés numériquement d'être installés). Suite à cela, le rootkit s'attache au master boot record d'un disque dur, pour ensuite modifier les options boots de la machine. Un sacré bazard.
Sources : Prevx ; GFI Software ; Microsoft (analyse technique très complète en PDF)
J'ai pas tout compris dans le document Microsoft... Le plus important est la méthode de détection: Ouvrez un fenêtre de commande et tapez ceci:
Code :
C:\WINDOWS\system32>diskpart
Microsoft DiskPart version 5.1.3565
Copyright (c) 1999-2003 Microsoft Corporation.
Sur l'ordinateur : PORTABLE
DISKPART> lis dis
Disque ### Statut Taille Libre Dyn Gpt
-------- --------- ----------- -------- --- ---
Disque 0 Connecté 37 GB 0 B
Si, à la place, ça affiche ça, c'est pas bon:
Code :
C:\WINDOWS\system32>diskpart
Microsoft DiskPart version 5.1.3565
Copyright (c) 1999-2003 Microsoft CorporationSur l'ordinateur : PORTABLE
DISKPART> lis dis
Il n'y a pas de disque fixe à afficher.
... Et je confirme qu'il est virulent, et détecté par aucun des anti-virus que j'ai essayé (AntiVIR, SUPERAntiSpyWare, RootKitRevelator, et l'antivirus Microsoft).
'est la m****, car combofix et mbr.exe ne marchent pas sur les OS 64, donc pour désinfecter c'est impossible...
Je sais pas si TDSSKiller peut désinfecter les OS 64
Après Stuxnet, un autre rootkit.. c'est inquiétant.
De ce coté là, Linux n'est pas mieux protégé, que Windows.
Windows cumule le handicap d'être installé sur une seule partition, où on peut lire écrire éxécuter.
Linux : la cde remount permet de changer les options de montage des partitions.. un point faible.
Les deux , ont un système de hotplug, porte d'entrée des rootkits, puis qu 'il faut pouvoir utiliser le dispositif de chargement des modules..
Les chasseurs de rootkits, sont complètement dans les choux, y compris sur les BSD. les développeurs de rootkits ont bien intégré leur mode de détection.
Je crois que l'ultime protection reste pour les BSD , les chflags et les securelevels, en partant d'un système propre à partir de CD officiels , et en verouillant au fur et à mesure de l'install et de la configuration.
Avec les niveaux les plus élevés de secure level, le chargement des modules du kernel est verrouillé.
Le secure level fonctionne comme un système à cliquet, même en admin on ne peut plus l'abaisser et donc plus rien déverrouiller.
Pour déverrouiller il faut être devant la bécane et taper une cde au boot.. pour abaisser le secure level, pour pouvoir enlever les verrouillages et faire une modif.
Pas très pratique pour le multimédia, ou pour tester plein d'applis, ni pour les mises à jour, si elles sont trop fréquentes.
Mais ça semble être la seule parade efficace contre les rootkits, pour le moment..
On ne sait plus les détecter, il faut les empêcher de s'installer, et de modifier les binaires, pour qu 'ils soient indétectables.
tu parles des rootkits MBR?
Parce les rootkit Kernel / Userland sont tout à fait détectables en bypassant les API win32 et WinNT
Non , pas spécialement.,je ne connais pas bien Windows
par contre je connais un peu les techniques utilisées par les rootkits du kernel, pour se rendre indétectables dans Linux et les BSD, en modifiant des utilitaires
soit ils se tuent, soit ils se zappent dans le listage des processus en cours, mais il y en a surement d'autres .
Pour le MBR il est évident qu'il faut enlever la cde dd dans Linux..(écriture-lecture directe sur disque dans les secteurs, sans avoir à monter la partition ).
( en fait il n' y a pas que le premier secteur qui soit concerné : il y a toute la première piste pour planquer ses trucs sur disque sans que ça apparaisse dans les systèmes de fichiers , plus une autre technique en déclarant des secteurs en défaut.
Puis ils se recryptent différemment ( partie active ) à chaque tour, de façon sommaire, mais ça rend l'analyse de code impossible, et la recherche ..
Je ne suis pas experte, mais voilà ce que je sais du sujet , et ça devient de plus en plus difficile de se protéger.Pour l'instant
les utilisateurs linux sont relativement épargnés par les rootkits.
Hé bè Sacré bestiole c'est rootkits je pensais pas que çà allais aussi loins dans le système??
Track
NB:T'avais raison Haker Tool , tu vois je n'pensais pas qu'il pouvait monter même dans une partition Linux , c'est incroyable , mais bon , on est quant même protégé mais çà fait peur quant même!!
Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits, les experts évoquent le kit "le plus sophistiqué" du momen
Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit, les experts évoquent le kit "le plus sophistiqué" du moment
Le rootkit TDL, ou Alureon, s'en prends depuis plusieurs années aux versions 32-bit de Windows.
Or, depuis peu, l'outil semble avoir été modifié pour pouvoir se frotter aux versions 64-bit de l'OS.
Windows 7 64-bit a ainsi été exploité, malgré ses fonctionnalités de sécurité avancées, et surtout améliorées par rapport aux précédentes versions du système.
D'après le spécialiste en sécurité Prevx, la première attaque réussie se serait déroulée en août 2010. Pire, il s'agira du "plus virulent rootkit jamais vu".
Il est utilisé comme backdoor et installe des keyloggers et d'autres malwares sur les machines contaminées, puis il les met à jour lorsque cela est nécessaire. Très discret, il est de plus quasiment indétectable par la majorité des anti-virus. Même les white hat hackers ont du mal à le repérer.
Un rapport publié hier par GFI Software donne plus de détails quant à son mécanisme d'intrusion dans les versions 64-bit de Windows : le rootkit le plus récent (TDL4) s'infiltre dans le noyau de l'OS de Microsoft en faisant fi de son "kernel mode code signing policy" (qui permet uniquement aux drivers signés numériquement d'être installés). Suite à cela, le rootkit s'attache au master boot record d'un disque dur, pour ensuite modifier les options boots de la machine. Un sacré bazard.
Sources : Prevx ; GFI Software ; Microsoft (analyse technique très complète en PDF)
J'ai pas tout compris dans le document Microsoft... Le plus important est la méthode de détection: Ouvrez un fenêtre de commande et tapez ceci:
Code :
C:\WINDOWS\system32>diskpart
Microsoft DiskPart version 5.1.3565
Copyright (c) 1999-2003 Microsoft Corporation.
Sur l'ordinateur : PORTABLE
DISKPART> lis dis
Disque ### Statut Taille Libre Dyn Gpt
-------- --------- ----------- -------- --- ---
Disque 0 Connecté 37 GB 0 B
Si, à la place, ça affiche ça, c'est pas bon:
Code :
C:\WINDOWS\system32>diskpart
Microsoft DiskPart version 5.1.3565
Copyright (c) 1999-2003 Microsoft CorporationSur l'ordinateur : PORTABLE
DISKPART> lis dis
Il n'y a pas de disque fixe à afficher.
... Et je confirme qu'il est virulent, et détecté par aucun des anti-virus que j'ai essayé (AntiVIR, SUPERAntiSpyWare, RootKitRevelator, et l'antivirus Microsoft).
'est la m****, car combofix et mbr.exe ne marchent pas sur les OS 64, donc pour désinfecter c'est impossible...
Je sais pas si TDSSKiller peut désinfecter les OS 64
Après Stuxnet, un autre rootkit.. c'est inquiétant.
De ce coté là, Linux n'est pas mieux protégé, que Windows.
Windows cumule le handicap d'être installé sur une seule partition, où on peut lire écrire éxécuter.
Linux : la cde remount permet de changer les options de montage des partitions.. un point faible.
Les deux , ont un système de hotplug, porte d'entrée des rootkits, puis qu 'il faut pouvoir utiliser le dispositif de chargement des modules..
Les chasseurs de rootkits, sont complètement dans les choux, y compris sur les BSD. les développeurs de rootkits ont bien intégré leur mode de détection.
Je crois que l'ultime protection reste pour les BSD , les chflags et les securelevels, en partant d'un système propre à partir de CD officiels , et en verouillant au fur et à mesure de l'install et de la configuration.
Avec les niveaux les plus élevés de secure level, le chargement des modules du kernel est verrouillé.
Le secure level fonctionne comme un système à cliquet, même en admin on ne peut plus l'abaisser et donc plus rien déverrouiller.
Pour déverrouiller il faut être devant la bécane et taper une cde au boot.. pour abaisser le secure level, pour pouvoir enlever les verrouillages et faire une modif.
Pas très pratique pour le multimédia, ou pour tester plein d'applis, ni pour les mises à jour, si elles sont trop fréquentes.
Mais ça semble être la seule parade efficace contre les rootkits, pour le moment..
On ne sait plus les détecter, il faut les empêcher de s'installer, et de modifier les binaires, pour qu 'ils soient indétectables.
tu parles des rootkits MBR?
Parce les rootkit Kernel / Userland sont tout à fait détectables en bypassant les API win32 et WinNT
Non , pas spécialement.,je ne connais pas bien Windows
par contre je connais un peu les techniques utilisées par les rootkits du kernel, pour se rendre indétectables dans Linux et les BSD, en modifiant des utilitaires
soit ils se tuent, soit ils se zappent dans le listage des processus en cours, mais il y en a surement d'autres .
Pour le MBR il est évident qu'il faut enlever la cde dd dans Linux..(écriture-lecture directe sur disque dans les secteurs, sans avoir à monter la partition ).
( en fait il n' y a pas que le premier secteur qui soit concerné : il y a toute la première piste pour planquer ses trucs sur disque sans que ça apparaisse dans les systèmes de fichiers , plus une autre technique en déclarant des secteurs en défaut.
Puis ils se recryptent différemment ( partie active ) à chaque tour, de façon sommaire, mais ça rend l'analyse de code impossible, et la recherche ..
Je ne suis pas experte, mais voilà ce que je sais du sujet , et ça devient de plus en plus difficile de se protéger.Pour l'instant
les utilisateurs linux sont relativement épargnés par les rootkits.
Hé bè Sacré bestiole c'est rootkits je pensais pas que çà allais aussi loins dans le système??
Track
NB:T'avais raison Haker Tool , tu vois je n'pensais pas qu'il pouvait monter même dans une partition Linux , c'est incroyable , mais bon , on est quant même protégé mais çà fait peur quant même!!
Dernière édition par Track le Mar 14 Déc 2010 - 21:47, édité 1 fois
Re: Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits
Hello
Et encore,, ne t'inquiète pas, on a pas fini d'en voir,,
il évolue de plus en plus,,, de plus en plus vite,, et de plus en plus méchamment ..
Heureusement que l'on reste encore dans la course
Le pire ,,, c''est Le TDL4 . Nouvelle Variante ...
Heureusement que nous avons tous ces outils en continuelle mise a jours,, comme Gmer par exemple, pour ce type d'infection..
ou Combofix,, le plus approprier, mais plus dangereux a utiliser ::/
je précise que combofix marche très bien sous Vista 64Bits,,
mais pas sous les autres plateforme migrer en 64, sa ne fait que de les faire planter :/
Enfin bon .. x_x
Et encore,, ne t'inquiète pas, on a pas fini d'en voir,,
il évolue de plus en plus,,, de plus en plus vite,, et de plus en plus méchamment ..
Heureusement que l'on reste encore dans la course
Le pire ,,, c''est Le TDL4 . Nouvelle Variante ...
Heureusement que nous avons tous ces outils en continuelle mise a jours,, comme Gmer par exemple, pour ce type d'infection..
ou Combofix,, le plus approprier, mais plus dangereux a utiliser ::/
je précise que combofix marche très bien sous Vista 64Bits,,
mais pas sous les autres plateforme migrer en 64, sa ne fait que de les faire planter :/
Enfin bon .. x_x
Invité- Invité
Re: Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits
Salut Hacker Tool
Je suis vert j'ai eu l'info hier soir comme tu disais , Oui même avec un formatage si il est dedans il y reste point
J'admet mais tord tu vois je ne pensais pas qu'un virus ou rootkits sa pouvais aller aussi loin je suis mais vraiment tomber sur le C** quant j'ai lu sa!!
Heureusement que vous êtes la quant même , et comme tu dis que vous tenez à jour vos logiciels de désinfections sinon t'imagine les dégâts que sa ferait ?
Ouais en tout cas je viens d'en apprendre une bonne tiens !
bien à toi l'ami
Cdt
Je suis vert j'ai eu l'info hier soir comme tu disais , Oui même avec un formatage si il est dedans il y reste point
J'admet mais tord tu vois je ne pensais pas qu'un virus ou rootkits sa pouvais aller aussi loin je suis mais vraiment tomber sur le C** quant j'ai lu sa!!
Heureusement que vous êtes la quant même , et comme tu dis que vous tenez à jour vos logiciels de désinfections sinon t'imagine les dégâts que sa ferait ?
Ouais en tout cas je viens d'en apprendre une bonne tiens !
bien à toi l'ami
Cdt
Page 1 sur 1
Permission de ce forum:
Vous ne pouvez pas répondre aux sujets dans ce forum