septembre, 2010

Le retour 64 bits du rootkit « bsod »

Posté on 01 Sep 2010 at 10:00

On est loin, très loin de l’alerte « critique », mais cette révélation de Marco Giuliani, sur le blog de PrevX, pourrait bien marquer la fin d’une époque : celle des virus 32 bits. Giuliani serait tombé sur une édition « full 64» du rootkit TDL3 qui, courant janvier, avait défrayé la chronique. Car cette infection avait pour principale caractéristique d’entrer en conflit avec un correctif Microsoft censé colmater la faille MS 10-015. Conflit qui provoquait un « écran bleu de la mort » aussi sûrement qu’un économiseur d’écran signé Russinovich… mais en vrai. Le Response Team de Microsoft avait à l’époque été accusé de diffuser une rustine trouée.

Cette fois, nous explique Giuliani, le code est « presque » propre, et qu’outre sa compatibilité avec le mode 64 bits, TDL3 s’est enrichi de quelques nouvelles fonctions, notamment la possibilité de s’installer sur le secteur de boot. Cette modification de la MBR s’effectue d’ailleurs grâce à un reboot sauvage astucieusement provoqué pour éviter de passer sous les fourches caudines des systèmes de protection du noyau. Ce serait là, toujours selon l’analyse de Marco Giuliani, une pré-version du vecteur d’infection. De nouvelles souches seraient en train d’apparaître chaque jour, un peu plus perfectionnées.

Après le vol de véritables certificats détournés de sites légitimes, voici que les codes d’infection se mettent eux aussi à respecter les conseils que Microsoft prodigue aux développeurs. A ce rythme-là, il ne faudra plus beaucoup de temps avant que n’apparaissent les premiers « vrais-faux drivers signés ».

Publicité

MORE_POSTS

Archives

septembre 2010
lun mar mer jeu ven sam dim
« Août   Oct »
 12345
6789101112
13141516171819
20212223242526
27282930