actualité
 L'actualité informatique et multimédia
 Rootkits : 5000 victimes d'un nouveau venu, Mebroot
 Le sexe en ligne a aussi ses maladies vénériennes
Sécurité

crane virus malware pirateUn nouveau cheval de Troie a fait son apparition dans le monde de Windows. Il s’agit cette fois d’un rootkit suffisamment sérieux pour faire l’objet d’un billet assez important sur le blog de Symantec consacré aux nouvelles menaces.

Ce rootkit, que la société a nommé Mebroot, s’installe dans le MBR (Master Boot Record) du disque dur, la zone dans laquelle sont contenues les informations relatives au lancement du système. Une fois intégré dans ce secteur, Mebroot peut contrôler l’ensemble de la machine, en faisant notamment appel à un malware de 467 Ko installé dans le tout dernier secteur du disque dur.

Les attaques par rootkit ne sont pas nouvelles, et divers PoC (Proof-of-Concept) ont été créés en 2005 et 2007 par plusieurs experts en sécurité. D’ailleurs, Symantec indique que le code de Mebroot reprend en partie le code du PoC créé en 2005 par Derek Soeder d’eEye Digital Security, notamment tout le cœur. Le reste a été modifié pour être adapté aux besoins de l’auteur, en particulier l’appel au malware.

Selon Symantec, le problème principal reste que la majorité des systèmes Windows permet un certain écrasement des données du MBR, même en mode utilisateur (par opposition au mode noyau). Durant le développement de Vista, Joanna Rutkowska avait démontré que la chose était également possible avec le nouveau système de Microsoft, une faille qui a été corrigée avec la Release Candidate 2 (et donc la version finale).

Pour l’instant, Mebroot s’installe et s’exécute avec succès sous Windows XP, quel que soit le Service Pack installé. Il ne fonctionnerait d’ailleurs bien qu’avec cette version de Windows, à cause en particulier d’un code spécifique dans le rootkit.

La méthode de propagation a un air de déjà-vu : des sites pornographiques spécialement conçus pour profiter de failles plus ou moins récentes d’Internet Explorer. 5000 victimes en Europe auraient déjà été comptabilisées.

Selon Symantec, le risque représenté par Mebroot reste très faible, car le cheval de Troie n'a pas de méthode de réplication propre. Il ne peut donc toucher que les utilisateurs surfant sur les sites malveillants cités, et eux seuls.


Rédigée par le lundi 14 janvier 2008 à 12h37 (26574 lectures)
Source de l'INformation : Symantec
Partager cette actualité par e-mail Imprimer cette actualité Proposer une actualité PC INpact sur votre site Sauvegarder cette actualité dans votre dossier Télécharger en pdf cette actualité Signaler une erreur dans la news

Il y a 108 commentaires dont 108 nouveaux - Poster un commentaire

Sur le même sujet d'actualité :

14 décembre 2007   Un PC sur cinq serait infecté par un rootkit
03 septembre 2007   Un rootkit pour ses clés USB biométriques ? Sony s'explique
28 août 2007   Un autre rootkit entache les clés USB biométriques de Sony
16 juillet 2007   Affaire Rootkit : Sony attaque le créateur de sa protection DRM
22 janvier 2007   Palmarès 2006 des Big Brother Awards France
20 décembre 2006   Sony BMG règle l'affaire des rootkits en Californie et au Texas
10 novembre 2006   Microsoft distribue Rootkit Revealer et Process Monitor
04 octobre 2006   Sécurité : Microsoft répond à Symantec et McAfee

Recherches relatives : mebroot - rootkit windows - symantec