Revenir vers la liste d'actualités
Doctor Web, éditeur russe de solutions de sécurité informatique sous la marque Dr.Web, annonce la sortie d’une nouvelle version du scanner antivirus Dr.Web capable non seulement de détecter Win32.Ntldrbot (aka Rustock.C), mais aussi de désinfecter des fichiers système contaminés par ce virus. Actuellement aucun autre logiciel antivirus, sauf Dr.Web, ne détecte le Win32.Ntldrbot.
Le spam vient de fêter 30 ans, triste anniversaire pour le monde informatique. L’envoi des courriers non sollicités a beaucoup évolué depuis l’époque des publicités du jambon américain épicé portant le nom SPAM et présente aujourd’hui un problème important international. Il nous arrive souvent de constater des fuites du trafic et nos boîtes aux lettres sont encombrées de 90% par des informations inutiles et de hameçonnage. Un des facteurs du taux si élevé du spam c’est Win32.Ntldrbot.
L’objectif principal de Win32.Ntldrbot – contamination des PC afin d’en transformer en robots depuis lesquels des envois des spams seront effectués, donc il s’agit de la création des botnets – réseaux géants de robots utilisés à des fins malhonnêtes, telles que l’envoi des spams. De plus, tel programme malicieux reste invisible sur des PC. Il est fortement probable que ce rootkit fonctionne ainsi depuis le mois d’octobre 2007. Selon les estimes de la société Secure Works, le réseau botnet créé par ce Rustock est au 3 eme rang parmi les plus grands réseaux botnets et peut envoyer jusqu’à 30 milliard de messages spam par jour. La « spécialité » du botnet - titres de placement et pharmacie.
L’auteur du rootkit a commencé à tester de nouvelles technologies d’interception des fonctions de drivers réseau ainsi que des méthodes permettant au rootkit de se cacher sur le système à la fin de l’année 2005 - au début 2006, où les premières versions bêta du rootkit ont apparu. La même année 2006, la version de Rustock.B capable de déjouer des pare-feu et de cacher le trafic de spam a vu le jour. Les éditeurs des antivirus venaient à bout de ce Rustock facilement.
Mais c’était la version suivante de Rustock qui posait des problèmes : ni les éditeurs antivirus, ni les auteurs des virus n’arrivaient à obtenir son échantillon. « Pas de victime – pas de crime » - telle était la position de la plupart des éditeurs de logiciels antivirus – « Puisque nous ne pouvons pas l’observer, il n’existe pas. Ce n’est qu’un mythe ! » - disaient-ils.
Il s’est avéré que Win32.Ntldrbot n’est pas un mythe.
Parmi les éditeurs de logiciels antivirus il y avait ceux qui n’ont pas baissé les bras. Un an et demi plus tard, au début de 2008 le Win32.Ntldrbot a été trouvé par les analystes de Doctor Web. Jusqu’à ce moment-là il envoyait des spams. On peut imaginer quel trafic parasitaire a été créé depuis le mois d’octobre 2007 où ce rootkit a été mise en œuvre.
Le service de veille antivirale de Doctor Web a détecté d’environ 600 exemplaires de ce rootkit. Personne ne sait leur vrai nombre. L’extraction et l’analyse permettant d’améliorer les technologies de détection des exemplaires pareils ont pris quelques semaines de travail.
Quelques caractéristiques de Win32.Ntldrbot :
- possède d’un protecteur polymorphe puissant empêchant l’analyse et l’extraction du rootkit.
- réalisation sous forme de driver kernel, il fonctionne au niveau le plus bas.
- fonction d’autoprotection, il résiste à la modification de l’heure d’exécution.
- résistance active au débogage : il contrôle l’installation des points d’arrêt de matériel (registres DR); empêche le fonctionnement des débogueurs au niveau kernel : Syser, SoftIce. Le débogueur WinDbg ne fonctionne pas lors de l’activité du rootkit.
- interception des fonctions système avec la technique particulière.
- fonctionne comme virus de fichier, en contaminant des drivers système.
- une espèce de rootkit se rattache au matériel du PC contaminé donc il est fortement probable que cette espèce n’est pas opérationnel sur un autre PC.
- fonction de réinfection qui est activée au moment voulu. En passant à un autre fichier, le rootkit restaure le fichier contaminé. Ainsi, il se promène entre les drivers système, toujours en contaminant seulement un fichier.
- filtrage des requêtes pour le fichier contaminé, il intercepte des procédures FSD du driver de système de fichier et remplace le fichier infecté par le fichier originel.
- il est muni d’une protection contre anti-rootkit.
- comporte une bibliothèque qu’il implante dans un des processus système. Cette bibliothèque est utilisée pour l’envoi des spams.
- un mécanisme particulier de transmission de commandes est utilisé pour la communication du driver avec DLL.
Compte tenu de la période assez longue de l’activité non limitée de Rustock.C on peut conclure que personne ne garantie que votre PC n’a pas été atteint et ne fait pas partie d’un botnet, donc il se peut qu’il est en train d’envoyer des spams juste maintenant. Si vous n’êtes pas utilisateur enregistré de l’antivirus Dr.Web, vous pouvez cependant vérifier votre machine et désinfecter les fichiers système contaminés par Rustock.C à l’aide du kit de désinfection gratuit Dr.Web CureIt!
Votre avis nous intéresse
Pour poser une question sur une news aux administrateurs du site, mettez @admin au début de votre commentaire. Si vous postez une question à l'attention de l'auteur d'un commentaire, mettez le symbole @.avant son nom.
Other comments