Nouveau Rootkit "64 Bits"

"Le 30/08/2010


Windows : le premier Rootkit ciblant les versions x64 découvert


Il se répand sur le Web et brise les défenses du noyau de l'OS


Une mise à jour du rootkit « Blue Screen of Death » qui a infecté des milliers de PC le mois de février passé, s'attaque désormais aux versions 64-bit de Windows.


Ce rootkit rentrera dans l'histoire comme la première infection des Windows compatibles x64 ayant pu briser les défenses du Kernel et infecter le secteur de boot du disque dur.


Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits, nous apprends Marco Giuliani, un chercheur en sécurité au sein de ****, l'éditeur d'antivirus Anglais qui a découvert cette faille.


Le nouvel exploit a réussi tout de même à franchir deux barrières importantes que Microsoft avait mises en place dans les versions 64bits de Windows.


La première barrière est le « Kernel Mode Code Signing », qui exige que les logiciels et drivers soient signés numériquement avant de les autoriser à s'exécuter en mode-kernel.


La deuxième, connu sous le nom de « Kernel Patch Protection » ou « PatchGuard » protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.


« Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers », explique Giuliani.


Les rootkits de ce type seraient quasiment indétectables par le système d'exploitation et les anti-virus.


Les chercheurs de *******, qui ont à leur tour confirmé l'exploit, précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du disque dur, ce qui rend plus difficile leur détection et leur suppression une fois l'ordinateur infecté.


La première version de ce rootkit a causé de sérieux dommages plus tôt cette année. La mise à jour de sécurité publié par Microsoft avait à l'époque provoqué le crache de certaines machines sous Windows 32-bit.


Une accusation portée par *****, déjà, et démentie par Microsoft


Cette exploit démystifie la sécurité des systèmes 64-bits ?


Il rappelle en tout cas qu'aucune technologie n'est à l'abri des attaques."


Qu'en pense BITDEFENDER? va t'on être bientôt protégé contre ce malware?

Réponses

  • Bonjour,


    Je n'ai pas d'informations complèmentaires à ce sujet, mais je vous confirmer que l'anti rootkit de BitDefender existe et fonctionne sur les OS 64 bits de Microsoft. J'essaye de voir auprès de mes collègues du laboratoire antiviral, si nous avons des informations à propos de ce communiqué de presse de ce concurrent.


    Sinon il existe un blog où l'on peut discuter des malwares et tout ce qui s'y attache, le forum est en revanche en anglais :


    http://forum.malwarecity.com/


    Cordialement,


    Yann


    "Le 30/08/2010


    Windows : le premier Rootkit ciblant les versions x64 découvert


    Il se répand sur le Web et brise les défenses du noyau de l'OS


    Une mise à jour du rootkit « Blue Screen of Death » qui a infecté des milliers de PC le mois de février passé, s'attaque désormais aux versions 64-bit de Windows.


    Ce rootkit rentrera dans l'histoire comme la première infection des Windows compatibles x64 ayant pu briser les défenses du Kernel et infecter le secteur de boot du disque dur.


    Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits, nous apprends Marco Giuliani, un chercheur en sécurité au sein de ****, l'éditeur d'antivirus Anglais qui a découvert cette faille.


    Le nouvel exploit a réussi tout de même à franchir deux barrières importantes que Microsoft avait mises en place dans les versions 64bits de Windows.


    La première barrière est le « Kernel Mode Code Signing », qui exige que les logiciels et drivers soient signés numériquement avant de les autoriser à s'exécuter en mode-kernel.


    La deuxième, connu sous le nom de « Kernel Patch Protection » ou « PatchGuard » protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.


    « Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers », explique Giuliani.


    Les rootkits de ce type seraient quasiment indétectables par le système d'exploitation et les anti-virus.


    Les chercheurs de *******, qui ont à leur tour confirmé l'exploit, précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du disque dur, ce qui rend plus difficile leur détection et leur suppression une fois l'ordinateur infecté.


    La première version de ce rootkit a causé de sérieux dommages plus tôt cette année. La mise à jour de sécurité publié par Microsoft avait à l'époque provoqué le crache de certaines machines sous Windows 32-bit.


    Une accusation portée par *****, déjà, et démentie par Microsoft


    Cette exploit démystifie la sécurité des systèmes 64-bits ?


    Il rappelle en tout cas qu'aucune technologie n'est à l'abri des attaques."


    Qu'en pense BITDEFENDER? va t'on être bientôt protégé contre ce malware?

  • Bonjour,


    Ce type de rootkit est détecté par BitDefender. Il peut être détecté comme Trojan.TDSS ou Rootkit.TDSS, il peut aussi être détecté comme un un Trojan.Generic.


    Cordialement,


    Yann


    "Le 30/08/2010


    Windows : le premier Rootkit ciblant les versions x64 découvert


    Il se répand sur le Web et brise les défenses du noyau de l'OS


    Une mise à jour du rootkit « Blue Screen of Death » qui a infecté des milliers de PC le mois de février passé, s'attaque désormais aux versions 64-bit de Windows.


    Ce rootkit rentrera dans l'histoire comme la première infection des Windows compatibles x64 ayant pu briser les défenses du Kernel et infecter le secteur de boot du disque dur.


    Cette mise à jour, désignée sous plusieurs appellations comme Alureon, TDL et Tidserv se répand déjà sur le Web à travers des sites pornographiques et des Kits d'exploits, nous apprends Marco Giuliani, un chercheur en sécurité au sein de ****, l'éditeur d'antivirus Anglais qui a découvert cette faille.


    Le nouvel exploit a réussi tout de même à franchir deux barrières importantes que Microsoft avait mises en place dans les versions 64bits de Windows.


    La première barrière est le « Kernel Mode Code Signing », qui exige que les logiciels et drivers soient signés numériquement avant de les autoriser à s'exécuter en mode-kernel.


    La deuxième, connu sous le nom de « Kernel Patch Protection » ou « PatchGuard » protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.


    « Pour réussir cet exploit, le rootkit modifie le secteur d'amorçage du disque dur principal (MBR), ce qui lui permet d'intercepter les routines de démarrage de Windows, se les approprier et charger ses propres drivers », explique Giuliani.


    Les rootkits de ce type seraient quasiment indétectables par le système d'exploitation et les anti-virus.


    Les chercheurs de *******, qui ont à leur tour confirmé l'exploit, précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du disque dur, ce qui rend plus difficile leur détection et leur suppression une fois l'ordinateur infecté.


    La première version de ce rootkit a causé de sérieux dommages plus tôt cette année. La mise à jour de sécurité publié par Microsoft avait à l'époque provoqué le crache de certaines machines sous Windows 32-bit.


    Une accusation portée par *****, déjà, et démentie par Microsoft


    Cette exploit démystifie la sécurité des systèmes 64-bits ?


    Il rappelle en tout cas qu'aucune technologie n'est à l'abri des attaques."


    Qu'en pense BITDEFENDER? va t'on être bientôt protégé contre ce malware?

  • Bonjour,


    Ce type de rootkit est détecté par BitDefender. Il peut être détecté comme Trojan.TDSS ou Rootkit.TDSS, il peut aussi être détecté comme un un Trojan.Generic.


    Cordialement,


    Yann


    Merci pour l'nfo.