Questions-réponses sur les malwares : épisode 5

Bonjour et bienvenue dans cette nouvelle série de questions-réponses sur la sécurité informatique. Les questions de cette semaine ont été posées par Chani, qui s’intéresse aux rootkits et à l’empoisonnement de cache DNS.

Comment les spécialistes des malwares recherchent-ils des menaces et des sites malveillants ?

Un spécialiste des virus doit absolument s’informer des évolutions des malwares. Nous obtenons des malwares à partir de différentes sources, les principales étant les suivantes : 

• Pots de miel ou « honeypots » : systèmes non patchés, sans aucune protection de sécurité, et attendant d’être infectés. Il s’agit d’une méthode efficace pour recueillir des exploits de type « zero-day » et des vers sur Internet.

• Échange de malwares : informations sur les malwares échangées entre l’entreprise, d’autres distributeurs et des services d’analyse en ligne.

• Signalements de clients via les forums BitDefender.

• Technologies propriétaires parcourant Internet à la recherche de malwares.
 

J’ai entendu dire que les rootkits étaient très discrets, difficiles à détecter et à supprimer. Comment savoir si notre ordinateur est infecté ?

Il est vrai que la plupart des malwares utilisent des rootkits extrêmement discrets et pratiquement indétectables, mais leur présence sur un système peut-être détectée avec un logiciel spécial. L’un des meilleurs outils pour la détection de l’activité des rootkits (ou, du moins, mon préféré), est l’application freeware Gmer qui détecte avec précision la présence de  rootkits et permet d’arrêter le pilote.

Cependant, supprimer un rootkit du système n’est pas une tâche aisée et ne se limite pas à arrêter le pilote rootkit. Si votre système est compromis, vous avez probablement besoin d’un antivirus avec une fonction anti-rootkit. Et puisque nous avons un module anti-rootkit de pointe, je vous recommande une version d’essai de 30 jours du logiciel BitDefender de votre choix.

 

 

Qu’est-ce que l’empoisonnement du cache DNS ? S’agit-il d’une infection sur un PC ?

L’empoisonnement du cache DNS fait partie des attaques les plus insidieuses contre tous les types d’ordinateurs, quel que soit leur système d’exploitation. Imaginez que le fichier hôte est un catalogue qui  associe un domaine à une adresse IP, afin que les URL souvent utilisées ne soient pas recherchées dans le serveur DNS. Il est par exemple possible de « coder en dur » un nom de domaine (par exemple malwarecity.com) et de l’associer à une adresse IP (comme 127.0.0.1) dans le fichier hôte, ce qui signifie que toutes les requêtes vers malwarecity.com seront envoyées à localhost. Dans une situation réelle, un attaquant peut utiliser un cheval de Troie afin de modifier furtivement votre fichier hôte et faire pointer votre réseau social préféré vers un autre serveur, où une page de phishing attend que vous vous « connectiez ».

Une nouvelle entrée dans le fichier « hôte » détourne malwarecity.com vers localhost

Imaginez maintenant que, puisque le fichier hôte est « empoisonné », lorsque vous essaierez d’accéder à cette URL dans votre navigateur, vous ne remarquerez rien de suspect. Cette démonstration de faisabilité n’est qu’un exemple de ce qui pourrait se passer si vos fichiers hôtes étaient modifiés. Au-delà de cela, les règles définies dans le fichier hôte s’appliquent à l’ensemble du système, ce qui signifie que tous les navigateurs et toutes les applications installés sur le système effectueront ce type de redirections automatiquement.

C’est tout pour aujourd’hui. Comme d’habitude, j’attends vos questions concernant la sécurité informatique dans le formulaire ci-dessous. À lundi.