Un rootkit notoire qui, depuis des années, a ravagé les versions 32-bit de Windows a commencé à se tourner vers les versions 64-bits du système d’exploitation de Microsoft.
La capacité du rootkit TDL, alias Alureon, pour infecter les versions 64-bit de Windows 7 est un lourd coup porté à ses créateurs, parce que Microsoft a doté l’OS avec des garanties de sécurité renforcées qui ont été destinées à bloquer de telles attaques. Le rootkit a franchi le domaine du 64 bits courant août, selon la firme de sécurité Prevx.
Selon une étude publiée lundi par GFI Software, la dernière version du rootkit attaque les versions 64-bit de Windows en contournant le code de l’OS en mode ring-0, qui est conçu pour permettre aux programmes d’être installé uniquement quand ils ont été signées numériquement par une source de confiance. Le rootkit réalise cet exploit en se fixant sur le master boot record (MBR) dans les entrailles du disque dur et en modifiant les options de démarrage de la machine.
“L’option de démarrage est changée en mémoire à partir du code exécuté par le MBR infecté”, écrit le technicien de GFI Fellow Chandra Prakash. “L’option de démarrage configure la valeur d’une option de configuration nommé” LoadIntegrityCheckPolicy »qui détermine le niveau de validation sur les programmes de démarrage. Le rootkit change cette valeur à un faible niveau de validation qui permet effectivement le chargement d’un fichier non signé (le rootkit malveillant, NDLR). “
Selon des chercheurs de Prevx, TDL est le rootkit le plus avancé jamais vu dans la nature. Il est utilisé comme un moyen détourné pour installer et mettre à jour les keyloggers et d’autres types de logiciels malveillants sur les machines infectées. Une fois installé, il est indétectable par la plupart des programmes de sécurité. Conformément au haut degré de sophistication de TDL, le rootkit utilise des instructions de bas niveau pour empêcher les débogueurs d’agir, ce qui rend difficile toute analyse pour les Whites Hat et les professionnels de la sécurité.
L’une des protections avancées que Microsoft a ajouté aux versions 64-bit de Windows a été la politique de signature en mode noyau. Microsoft a également ajouté une fonctionnalité appelée PatchGuard, les pilotes en mode noyau ne peuvent modifier les parties sensibles du noyau Windows. TDL parvient à contourner cette protection, en modifiant le MBR d’une machine afin de pouvoir intercepter les routines de démarrage de Windows.
Nous y sommes. Cela faisait un moment que l’on entendait plus parler de lui. Le retour sur le devant de la scène?
Les commentaires sont fermés.