Windows 7/vista comment font les malware ?

[celegorm]

bonjour à tous,
je m'intéresse aux sécurités intégrées à Windows et j'aimerai comprendre comment les malware parviennent à s'installer en mode "utilisateur" ?
Notamment, je ne comprend pas comment ces programmes arrivent à récupérer les droits administrateur et à s'installer durablement (en tant que programme ou en tant que driver pour les rootkit) ?

Est-ce que ce mode permet d'éviter les infections type rootkit ?
Avec l'UAC activée et en mode utilisateur normal, je doute de la réalité de la menace...
Qu'en pensez vous ?

[chef]

bonsoir,
un peu de lecture ici
https://www.malekal.com/fichiers/projet ... alware.pdf

[celegorm]

merci pour ce document très intéressant mais il ne répond pas à ma question :
est-ce qu'aujourd'hui un malware peut s'installer durablement sur un compte limité avec l'uac activé (Windows 7)... en supposant que l'utilisateur réponde correctement aux demandes de cette UAC
et si oui comment il fait pour passer outre les restrictions ?
bonne soirée !

[chef]

super sa prouve bien que tu la pas lus

Prévention & Sécurité sur internet 08/02/09
Pour les utilisateurs de Windows Vista/Seven, si vous avez désactivé l'UAC, c'est une bien
belle erreur, je vous conseille vivement de le réactiver, lire la page UAC : Pourquoi ne pas le
désactiver.
La configuration ci-dessus prend en compte le faite que l'UAC est activé et que les utilisateurs
ont compris son interêt.
Si l'UAC est désactivé, vous surfez certainement avec les droits administrateurs, vous avez
alors réduit de manière significative la sécurité de votre PC.

ensuite voir ici
http://forum.malekal.com/uac-pourquoi-p ... 20646.html

[celegorm]

si si, je l'ai bien lu mais ma question reste comment les malware font pour fonctionner sur un poste avec UAC activé et tous les éléments de défense de Windows 7 en fonctionnement (et à jour évidemment) ?
Si l'utilisateur ne se trompe pas en répondant aux questions de l'UAC, est ce que le système peux encore être infecté ?
Le document cité ne répond pas à ma question ! (j'ai bien compris l'intéret de l'UAC, encore que... voir mon autre thread)

[Sacles]

Bonjour,

La plupart des pestes entrent dans le PC grâce à l'utilisateur lui-même: P2P, téléchargement de n'importe quel programme,...

Donc, l'UAC a ses limites, qui sont les mêmes que les HIPS : l'utilisateur qui autorise tout et n'importe quoi.

Beaucoup d'utilisateurs désactivent l'UAC a cause de la répétition pour un même programme (l'UAC ne contrôle sans doute pas l'empreinte numérique d'un fichier (MD5, SHA-1)).

Pour remédier à cela, il y a un outil chez Norton (je ne l'ai jamais testé puisque chuuut, j'ai désactivé l'UAC). Présentation: http://www.01net.com/contenu/2562/ta_fi ... tool-516-1

Cet outil est pour Vista, je ne sais pas s'il fonctionne sous Windows 7 (où l'UAC a été modifiée - niveaux).

Salut.

[celegorm]

bonjour merci pour cette réponse, je vais finir par passer pour un pénible mais ça ne répond pas à ma question initiale
je la reprend: est ce que les malware peuvent encore s'installer sur windows 7 64 bits avec l'uac activée et sur un compte utilisateur standard avec pour hypothèse que l'utilisateur réponde correctement à toute les questions qui lui sont posées (hypothèse pas forcément réaliste je vous l'accorde).

[chef]

bonjour merci pour cette réponse, je vais finir par passer pour un pénible mais ça ne répond pas à ma question initiale
je la reprend: est ce que les malware peuvent encore s'installer sur windows 7 64 bits avec l'uac activée et sur un compte utilisateur standard avec pour hypothèse que l'utilisateur réponde correctement à toute les questions qui lui sont posées (hypothèse pas forcément réaliste je vous l'accorde).

bonjour,
on arrête pas de dire rien n'est impossible, après c'est a toi de faire attention et de pas surfé a risque,ect..
comme le dit sacles l'uac a c'est limite et c'est aussi vrai pour tout les logiciels de protections.
après tu en déduit se que tu veus .

[celegorm]

bonjour,
j'ai posté ici car vous avez une réelle compétence en matière de malware. Je m'attendais à une réponse un peu plus précise: Voyez vous passer des infections sur Windows 7 64 bits qui arrivent à passer outre l'UAC (ou ne nécessitant pas de droit administrateur ) ?

[Sacles]

Bonjour,

Voici un exemple de contournement de l'UAC par l'utilisateur lui-même.

Si un utilisateur "de base" est capable de créer un raccourci qui contournera l'UAC, les concepteurs de malwares pourront trouver différentes autres techniques pour y arriver.

http://translate.google.be/translate?hl ... s-uac.html (il s'agit d'une traduction)

Article original (en anglais): http://www.vistax64.com/tutorials/16297 ... s-uac.html

Salut.

[Gilles Gropaquet]

Bonjour, on ne sait pas tout.. demande à malekal_morte en lui envoyant un MP, il te répondra à son retour.

voir ici, article détaillé : http://fr.wikipedia.org/wiki/Rootkit


@+

[celegorm]

Bonsoir à tous,
merci Sacles pour l'article, j'ai testé cette méthode en créant une tâche mais celà ne fonctionne pas : il faut obligatoirement la créer avec un compte administrateur (demande de mot de passe lors de la création de la tâche).
Ma recherche continue donc
de mon côté je vais contacter directement microsoft lundi pour avoir leur avis.
Je vous tiens au courant.
si vous avez d'autres infos n'hésitez pas à poster et encore merci de votre accueil.

[Sacles]

Bonjour,

Je ne vois pas pourquoi "tu continues". Je t'ai indiqué une manière de contourner l'UAC (si cela ne fonctionne pas, c'est que tu fais une erreur).

C'est aussi expliqué sur PC-Astuces et cela fonctionne: http://www.pcastuces.com/pratique/windo ... /page3.htm

Que cherches-tu finalement? Les pestes peuvent contourner l'UAC par différentes techniques qui ne sont pas à expliquer en détails ici.

Ne crois pas que Microsoft va te donner en détails de moyens pour contourner leur UAC.

Salut.

[celegorm]

je confirme bien: cette manip ne fonctionne pas dans un compte utilisateur standard. Pour créer une tâche il faut être obligatoirement admin.
Pour le reste, mon but est de savoir si les malware actuels (les plus répandus) fonctionnent dans un Windows 7 64 bits utilisateur standard (non admin) avec UAC activée (et bonnes réponses de l'utilisateur).
Pour l'instant ma réponse est non (j'ai testé une petite dizaine de malware récents et aucun n'a réussi à infecter la machine).
Je me doute qu'il doit y avoir des exceptions mais j'essaye de savoir dans quelle mesure elles existent.
Cette recherche va me servir à conseiller les utilisateurs mais il me faut des preuves que cette config (win7/64bits/UAC/compte restreint) apporte une sécurité réelle (c'est à dire appuyée par des tests).

[Jejewen]

Déjà je vois pas l'intérêt d'une chose : quitte à utiliser un compte restreint, pourquoi garder l'UAC ?

C'est pas que j'en ai marre de ta question, mais ça élimine (au moins en partie) la plus grosse faille dans ta config de sécurité : faire l'hypothèse que l'utilisateur ait les connaissances suffisantes pour savoir à tout moment répondre à l'UAC. S'il est sur un compte restreint, sans UAC pas de droits admin et tu élimines déjà l'une des faiblesses de ta "configuration" ; les malwares trouveront toujours un moyen d'obtenir les droits nécessaires, mais ce ne sera pas l'utilisateur qui les lui donnera.


Pour le reste de ta "config", je vois pas ce qui serait moins sûr qu'un autre système...
Win7 : ok c'est le dernier, mais XP SP3 a aussi droit à des MaJ de sécurité donc.
64 bits : j'ai lu rapidement un topic sur le 64 bits et les rootkits, ça apporte peut-être un plus mais c'est pas une solution miracle (c'est pas le but non plus). Un linux 32 bits reste bien plus sûr qu'un Windows x64.
UAC : ok si le compte admin est utilisé au quotidien, mais si on fait les choses correctement (et c'est ce que tu sous-entend avec ta question) on utilise un compte restreint et l'UAC n'a plus d'utilité. Oublie pas que si fiston connait le mot de passe de papa, quand l'UAC va demander le mot de passe du paternel pour installer quelque chose (sans doute une m****) tu penses bien qu'il va pas se gêner.


Pour finir, n'oublie pas l'humain et son rôle incontournable dans la sécurité (c'est vrai en informatique, mais aussi dans la sécurité au travail ou la sécurité routière...), la technologie ne fait pas tout loin de là. Tu veux te renseigner pour proposer à des personnes une config optimale, c'est très bien, mais si tu veux faire encore mieux renseigne-toi aussi pour leur expliquer un minimum de choses, sinon toutes tes belles sécurités ne serviront à rien (n'oublie pas ton hypothèse : la personne répond correctement à l'UAC).