Questions-réponses sur les malwares : épisode 2

1. Le terme « rootkit » est de plus en plus utilisé, et semble être devenu une expression « fourre-tout » pour différentes menaces sérieuses. En quoi consiste exactement une infection par roorkit ? Certains attributs et fichiers doivent-ils être affectés par les malwares pour que l’on puisse parler de rootkit ? De nombreuses infections par rootkit semblent revenir, même après avoir été supprimées par un logiciel antivirus. Pourquoi est-ce si difficile de s’en débarrasser ? – Question posée par Aegaeon

Les infections par rootkit sont causées par des malwares contenant un rootkit, généralement un pilote du système, qui corrompt le système d’exploitation. Une fois installé, il peut  modifier des fonctions critiques du système d’exploitation ou même, entraver le fonctionnement de certaines solutions antivirus. Les malwares capables d’installer un pilote en mode utilisateur ou en mode noyau sont généralement qualifiés de rootkits. Il existe également des rookits en mode hyperviseur et des bootkits, mais ils sont plutôt rares. Les infections par rootkit présentent un danger particulier car elles sont habituellement capables de tromper les systèmes chargés de les détecter. Notons toutefois que les solutions antimalwares avec une protection contre les rootkits peuvent détecter et supprimer ces menaces.

2. Pouvez-vous présenter la structure de commande et de contrôle d’un botnet (Conficker, Waladec, Zeus) ? Pourquoi est-ce si difficile pour les autorités d’en venir à bout ? Quels types de mécanismes cryptographiques servent à les protéger ? – Question posée par Aegaeon

Ces botnets sont extrêmement complexes et nous  les présenterons en détail dans de futurs articles. La plupart du temps, les autorités sont incapables de les étudier et de les mettre hors de portée de nuire en raison du manque de ressources et de coopération entre les organismes (par exemple, entre les organismes chargés de l’application de la loi et les fournisseurs d’accès à Internet) ou simplement parce que surveiller les centres de contrôle et de commande nécessite de s’introduire dans les serveurs les hébergeant, ce qui est illégal dans la plupart des pays. En outre, les botnets actuels sont composés d’ordinateurs infectés par des malwares élaborés utilisant plusieurs niveaux de protection pour s’exécuter en toute discrétion et télécharger des mises à jour de bots extrêmement obscurcis.

3. L’obscurcissement est souvent utilisé dans les malwares actuels. Comment les cybercriminels parviennent-ils à obscurcir leur code afin que celui-ci continue à fonctionner et ne soit pas détecté par les moteurs antivirus ? Comment les ingénieurs de BitDefender font-ils pour que leurs logiciels de sécurité détectent les codes malveillants au milieu d’un programme obscurci ?

La méthode la plus utilisée pour l’obscurcissement est la compression. Les auteurs de malwares utilisent une large gamme d’outils de compression personnalisés, non commerciaux et très élaborés (également appelés « FUD », c’est-à-dire « totalement indétectables ») pour masquer leurs charges utiles malveillantes. Certains malwares changent d’outil de compression 5 ou 6 fois par jour afin d’éviter d’être détectés. Pour lutter contre l’obscurcissement, BitDefender associe des scanners traditionnels à des technologies de protection supplémentaires telles que le sandbox (ou « bac à sable »), l’heuristique et l’analyse comportementale, qui permettent à l’antivirus de détecter du code malveillant très obscurci. 

4. Pourquoi doit-on protéger les téléphones portables ? – question posée par Waran

Une grande partie du marché des téléphones portables est actuellement constituée des smartphones, des téléphones haut de gamme disposant d’un véritable système d’exploitation et permettant d’installer des applications tierces. Tout comme les ordinateurs de bureau, les ordinateurs portables ou les netbooks, les smartphones peuvent être exploités par des malwares via des vulnérabilités du système d’exploitation ou via l’installation d’une application infectée telle qu’un jeu ou un faux lecteur multimédia.

Si certaines de ces applications peuvent recueillir des coordonnées et des identifiants de connexion utilisés lors des sessions de navigation, d’autres vous laisseront une note salée. Les principales menaces pour les téléphones portables sont les chevaux de Troie dialers, qui ont connu leur apogée à l’époque de la connexion à Internet par modem, et qui font maintenant leur retour avec les téléphones portables. Ces dialers peuvent composer à votre insu des numéros surtaxés et ajouter le coût de ces appels à votre facture. Ne pas protéger son smartphone, c’est faire un chèque en blanc à des cybercriminels.