Deux nouvelles fonctionnalités ont été incluses afin de protéger Vista des intrusions et des rootkits.
Quelques définitions et termes informatiques :
Les rootkits
Les rootkits sont des programmes qui sont capables de se cacher des autres programmes y compris les antivirus. Il existe deux types de rootkits:
- les rootkits user-mode qui se cachent des autres programmes sauf des programmes qui fonctionnent au niveau du kernel (noyau) de Windows.
- les rootkits kernel-mode qui peuvent se cacher de TOUS les programmes.
Pour détecter les rootkits, il faut des scanneur rootkits qui sont capables (mais pas à tous les coup) de détecter leurs présences.
Voir la page : UAC : Pourquoi ne pas le désactiver
Dropper :
Le Dropper est le programme malveillant qui se charge de "dropper" (du verbe to drop en anglais) l'infection sur le système.
C'est en quelque sorte le programme d'installation de l'infection.
Voir la page Dropper & Payload : Explications
UAC (contrôle d'accès utilisateur)
Un des défauts des versions précédentes de Windows étaient que la majorité des utilisateurs surfer sur internet avec les droits administrateurs du système.
Dès lors, toute application exécutée avait accès direct au système, il était alors très simple pour les malwares de s'installer sur le système et ou modifier sa configuration (désactiver le parfe-feu etc..).
Pour pallier à cela, Windows Vista incorpore l'UAC (contrôle d'accès utilisateur). Votre utilisateur n'est plus administrateur, si vous avez besoin d'effectuer des opérations qui nécessitent les droits administrateur (modification des paramètres du système, installation de nouvelles applications..). Une fenêtre vous demandant si vous désirez passer administrateur s'ouvre alors ainsi l'élévation des privilèges est contrôlée.
Dans le cas d'une tentative d'installation de malwares par une faille de sécurité sur votre navigateur.. la même fenêtre s'ouvrira alors, vous n'aurez plus qu'à refuser pour que le malware ne puisse s'installer.
Voir la page UAC : Pourquoi ne pas le désactiver
PatchGuard
Les rootkits en mode kernel modifie la table SSDT (System Service Descriptor Table) afin de rediriger les appels systèmes vers leurs drivers et fausser la réponse ce qui leur permet de se cacher. PatchGuard est un ajout fait à Vista qui se charge d'émpecher les modifications de la table SSDT ceci afin que les rootkits ne puissent plus se cacher.
PatchGuard protège le système contre les rootkits kernel-mode et non les rootkits user-mode.
Vista et l'installation des rootkits
Vista et Magic.Control :
Pour rappel Magic.Control est un rootkit user-mode.
L'installation se fait à travers divers programmes se faisant passer pour des programmes légitimes (MailSkinner, MessengerSkiner, WebMediaPlayer etc..). Les pièges reposent toujours sur le concept de social engineering.
Pendant l'installation de ces programmes, ce dernier injecte le rootkit à l'intérieur du système.
Malheureusement, l'infection fonctionne très bien sur Vista, pourquoi ? tout simplement parce qu'au lancement de l'installation du programme, l'utilisateur reçoit une notification de l'UAC qui lui demande si le programme d'installation doit se lancer avec les droits administrateurs, ce qui est tout à fait normal puisque pour s'installer le programme d'installer doit effectivement avoir les droits administrateurs.
Une fois que le programme d'installation possède les droits administrateurs, il est maître du système et peut tout à fait injecter le rootkit user-mode au sain du système.
Ceci démontre les limites de l'UAC et le rôle de l'utilisateur dans quant à l'intégrité de son système.
Le rootkit user-mode fonctionne très bien sur Vista.
Vista et pe386 :
pe386 est un rootkit kernel-mode. Pour plus d'informations, vous pouvez consulter cette page : http://forum.malekal.com/rootkit-pe386- ... -t982.html
Je possède trois droppers qui installent ce rootkit, en double-cliquant dessus, aucun ne fonctionne. On obtient des erreurs programmes (voir capture ci-dessous).
En lançant le dropper avec les droits administrateurs (clic droit sur le fichier / Executer en tant qu'administrateur), il semblerait que le driver du rootkit s'installe sur le système mais ceci provoque une instabilité du système puisqu'un écran bleu est apparu aussitôt. Cet écran bleu revient à chaque démarrage (surement au chargement du driver).. j'ai du revenir à une configuration connue pour pouvoir démarrer convenablement.
Conclusions :
Il est difficile de faire une conclusion sur un seul système :
- Il semblerait donc que les droppers qui fonctionnent très bien sur Windows XP/2000 plantent lors de l'exécution et l'UAC ne prend pas le relai
- Il semblerait que le driver arrive à se charger si le dropper a les droits administrateur mais provoque un crash de Windows. Impossible donc de confirmer que PatchGuard fait bien son travail (ou PatchGuard participe au crash du système). A noter que les crashs du système sont aussi fréquents sur Windows XP.
Il faut s'attendre à de nouvelles versions du rootkit avec des droppers qui fonctionnant sur Vista.. et un rootkit parfaitement fonctionnel.