Les défenses traditionnelles des ordinateurs ont du mal à suivre l’évolution des rootkits.

Plus que jamais, les rootkits pernicieux cachent l’implantation de « renifleurs » et de chevaux de Troie dont l’objectif est l’arnaque de leurs victimes. Leur évolution est très rapide. Ils incorporent progressivement des fonctions variées pour se camoufler, se protéger, atteindre leur objectif de contrôle des ordinateurs et le garder ...
 contournement ou interruption des logiciels de défense traditionnels,
 utilisation simultanée de différentes techniques de « crochetage » des fonctions de Windows,
 surveillance de leur implantation et « reconstitution » des crochets s’ils sont découverts et qu’une remise en l’état initial des fonctions du système a eu lieu.

Plus que jamais, la nouvelle génération de ces parasites furtifs et leurs méthodes d’intrusion favorites déroutent les firewalls, antivirus et autres utilitaires communs.

Certains utilitaires sont dangereux en ce sens qu’ils donnent l’illusion de la sécurité alors que le PC est infesté. Les antirootkits (ARK) n’échappent pas à cette règle alors que les techniques de furtivité se généralisent et que la présence des nouveaux malwares est de plus en plus difficile à détecter.

L’équipe de Rootkit Unhooker a effectué une série de tests pour vérifier quels sont les ARKs sur lesquels on peut compter actuellement.

Les tests ont été effectués en injectant des rootkits PoC, de démonstration, et d’autres, nuisibles, qui circulent en ce moment.

afx 2005 (rootkit de test), all-in-one (malware), badrkdemo (test rk), gromozon (malware), hxdef (test rk), haxdoor (malware), phide_ex (test rk), rkdemo v1.0/1.1/1.2 (test rk), rustock.a / rustock.b (malware), unreal.a (test rk), vanquish (test rk).

Outre RkUnhooker, plus de trente ARKs ont été utilisés pour les détecter ...

Avira, AVG, AVZ, BitDefender RkUncover, Blacklight, catchme, DarkSpy, flister, GMER, Helios, Hidden Finder, Hook Analyzer, Hook Explorer, IceSword, klister, McAfee Rootkit, Detective, modGREPER, Panda ARK (Tucan), Process Master (hf), Process Master, RAIDE, Rootkit Revealer, RkDetector 2, RkDetector, Rootkit Buster, Safe’n’Sec, RkTrap, SafetyCheck, Sophos ARK, SEEM, SVV, UnHackMe, VICE.

Les résultats, publiés avec le titre évocateur « Modern ARK’s - illusion of detection ? », ne surprennent pas vraiment. Les antirootkits les plus anciens sont complètement dépassés. Les outils réputés ne donnent pas les meilleurs résultats. Beaucoup ne détectent que quelques uns des rootkits. La majorité est incapable de les éradiquer.

Même RkUnhooker dans sa version 3.20 n’est pas parfait. Par exemple, le driver de "phide_ex" ne serait pas détecté sans « bidouillage ». Pourtant, c’est actuellement le plus performant.

Dans la catégorie des logiciels auxquels on peut encore attribuer quelque confiance, et après RkUnhooker, se trouvent Gmer, DarkSpy et IceSword, tous gratuits. Aucun des autres n’est vraiment crédible. Certains, même payants, sont totalement lamentables.

Une mention spéciale est destinée à Joanna Rutkoswka, saluée d’un « Lady Rutkowski », auteur des premiers ARKs (Flister, Klister, ModGreper) et dont le plus connu, SVV (System Virginity Verifier), est un logiciel « open source », disponible pour toute initiation, et en attente de volontaires passionnés pour de nouveaux développements.

Tout utilisateur de Windows peut refaire l’intégralité de ce test sur son PC, mais certains rootkits sont malheureusement instables et/ou difficiles à éradiquer quand on ne dispose pas des outils adéquats.

Pour aider la communauté à déterminer quels sont les meilleurs produits de défense et/ou pour être rassuré sur ceux dont on dispose, nous vous proposons de tester quelques uns des rootkits parmi ceux qui ont été mis au point à des fins de démonstration ou pour faire évoluer les logiciels de détection. Ils sont non destructifs et sans danger pour l’ordinateur sauf peut-être si le système d’exploitation est déjà détérioré.

Dans le forum ... <<< Détail du test de Rootkit Unhooker et test simplifié de contrôle pour le PC de chacun.