Le rootkit ZeroAccess n’est pas la menace la plus connue ou la plus surveillée actuellement, mais, comme une analyse extrêmement détaillée des nouveautés du programme, il est un parfait exemple du type de logiciels malveillants sophistiqués que les pirates crées pour maintenir la persistance et l’accès silencieux sur les machines compromises.
ZeroAccess est utilisé comme une plate-forme pour l’installation d’autres logiciels malveillants sur les ordinateurs infectés et fait partie intégrante de plusieurs malwares, notamment de voleurs de numéro de cartes de crédit. Le rootkit est particulièrement intraitable, il a la capacité de se injecter dans les pilotes de périphériques et dans les processus. Il se situe au niveau le plus bas de la pile logicielle (ring 0), selon une analyse de ZeroAccess par Giuseppe Bonfa de l’Institut InfoSec. L’analyse complète en quatre parties de ZeroAccess prend le rootkit partie par partie et montre la tactique qu’il utilise pour infecter de nouvelles machines et pour maintenir sa persistance et rester hors de vue.
“InfoSec Institut classerait ZeroAccess comme sophistiqués, par rapport aux autres rootkits avancés. Il dispose de 4 composants principaux que nous allons décrire en détail dans cette série d’articles. ZeroAccess est un rootkit crimeware compartimenté qui sert de plate-forme pour l’installation de divers programmes malveillants sur les ordinateurs des victimes. Il supporte également de fonctionnalités rendant impossible la suppression des programmes malveillants installés sur une machine et ce, même pour les utilisateurs avec les privilèges administrateur. Il est très difficile à analyser par les spécialistes de la sécurité “, a écrit Bonfa.
“A l’issue de l’analyse, nous allons retracer l’origine criminelle du rootkit ZeroAccess. Nous allons découvrir que le but de ce rootkit est de mettre en place une plate-forme furtive, indétectables et non amovible afin de fournir des logiciels malveillants sur les ordinateurs des victimes. Nous verrons également que ZeroAccess est actuellement utilisé pour fournir des applications tels que les crimewares “FakeAntivirus” (ou rogues, NDLR) dans le but d’inciter les utilisateurs à payer 70 $ pour enlever le faux antivirus. Il pourrait être utilisé pour délivrer leurs applications malveillantes, telles que celles qui volent les identifiants bancaires. “
ZeroAccess utilise une certaine API de bas niveau des appels à la partition des volumes que l’utilisateur ne peut pas voir. Le rootkit fait aussi le suivi au niveau du noyau des processus, ainsi, l’analyse et le reverse engineering deviennent très difficiles.
Le motif derrière tout cette furtivité est, comme on pouvait s’y attendre, l’argent. Le rootkit ZeroAccess est utilisé comme une plate-forme pour l’installation de faux programmes antivirus sur les machines infectées dans le cadre de campagne qui demande aux victimes de payer 70 $ afin supprimer les logiciels indésirables. Beaucoup de rogues sont installés soit par des fichiers téléchargés ou alors lorsque les utilisateurs cliquent sur une boîte de dialogue sur un site Web infecté.
Dans le cas de ZeroAccess, le rootkit utilise une DLL malicieuse qui démarre un thread qui finit par produire un couple d’appels qui communiquent avec un serveur distant et demande le code malveillant qui installe le rogue.
«Cette injection de DLL a pour but de générer des redirections web aux sites Web malveillants qui contiennent des logiciels de type “FakeAntivirus“. Avec des coûts pour la victime de 30 $ à 100 $, il s’agit d’un revenu lucrative pour les cybercriminels.”
En effet, les rogues et autres scarewares sont des mines d’or pour les attaquants. Plusieurs fois, les victimes qui paient la redevance pour soi-disant supprimer les logiciels malveillants de leur PC sont réinfectés à nouveau assez rapidement. Ces programmes font souvent partie des plus grands chapeau noir SEO et des campagnes d’injection SQL déployées par des équipes de pirates bien organisées.