Un Anti-Rootkit c'est quoi !

Avant de commencer par l'explication d'un Anti-Rootkit il est important de comprendre ce qu'est un rootkit.


Un rootkit est une suite de logiciel, conçu pour permettre l'accès à un ordinateur. Le terme rootkit est une concaténation de « racine » (le nom traditionnel du compte administrateur ou accès complet sur les systèmes d'exploitation pareils UNIX) et le mot « le kit » allusion aux composants logiciels qui exécutent l'outil
Un rootkit est une suite de programme informatique qui est dissimulé dans le système d'explotation et qui vont utiliser plusieurs technique afin d'avoir un accès complet au système d'exploitation voir même de l'hyperviseur situé au dessus de la couche système.
Un rootkit peut s'installer dans un programme téléchargeable et ainsi prendre le contrôle administratif des machines en local ou sur le réseau de l'entreprise et ainsi effectuer des taches comme le ferai un administrateur voir aussi masquer l'activité du hackeur et le tout effectué à distance par celui-ci.
L'accès à distance se fera par une porte dérobée (backdoor) inconnue de la victime et qui permettera l'accès au programme par des commandes Shell, Telnet...



Il existe des programmes qui permettent de les détecter mais certains ne sont pas toujours efficace à les détecter.
Comment procède le Rootkit, il effectue un scanne de plage d'adresses IP en cherchant des vulnérabilitées connus via des sites de rapport de vulnérabiltes.

L' obtention de cet accès est le résultat d'une attaque directe sur un système, à savoir l'exploitation d'une vulnérabilité connue ou un mot de passe (obtenu par craquage ou ingénierie sociale tactiques comme « phishing »). Une fois installé, il devient possible de cacher l'intrusion ainsi que de maintenir un accès privilégié. La clé est l'accès root ou administrateur. Le contrôle total d'un système signifie que le logiciel existant peut être modifié, y compris un logiciel qui pourrait autrement être utilisé pour le détecter ou le contourner.
Comme expliqué plus haut la détection de rootkit est difficile, car un rootkit peut être capable de subvertir le logiciel qui est destiné à le trouver.

Les méthodes de détection incluent l'utilisation d'une alternative fiable, les méthodes axées sur le comportement, la numérisation de la signature, le balayage de différence, et le vidage de la mémoire d' analyse. L' élimination peut être compliquée ou pratiquement impossible, en particulier dans les cas où le rootkit réside dans le noyau ; la réinstallation du système d'exploitation peut être la seule solution disponible au problème.

Certaines variante de Rootkit comme les Bootkits qui en mode noyau peut infecter le code de démarrage comme le Master Boot Record (MBR), Volume Boot Record (VBR) ou secteur d'amorçage , et de cette façon, peut être utilisé pour attaquer le cryptage complet du disque système et ainsi intercepter les clés de chiffrement et les mots de passe ou comme les célèbres "Vista loader" "Windows Loader" qui permettaient d'activer les versions Windows Vista, 7 ...

Les Rootkits les plus connus sont ZeroAccess / Sirefef, et pour les bootkits de type Alueron/TDSS TDL 4 qui sont capables de désactiver n’importe quel antivirus.

De nombreuses entreprises antivirus fournissent des programmes gratuits pour supprimer bootkits. Comme Sophos Virus Removal Tool qui supprime les virus, les spywares, les rootkits et les faux antivirus, ou Malwarebytes Anti-Rootkit.

Vous comprendrez alors l'importance du cryptage de vos données ainsi que le chiffrement de votre système comme expliquer en rubrique Cryptages données.
Liste des logiciels Anti-Rootkit (gratuit)

          •    Sophos Virus Removal Tool                             •     McAfee Rootkit Detective Beta
          •    Malwarebytes Anti-Rootkit                               •     Kaspersky Virus Removal Tool
          •    Trend Micro Rootkit Bustert                             •     RKill
          •    RootkitRevealer                                              •     RogueKiller
          •    Panda Anti-Rootkit
          •    F-Secure BlackLight
 
 
Contact
Facebook