LinkOptimizer rootkit, gromozon

par **Malekal_morte** » 12 sept. 2006 07:42

Depuis quelques mois, un rootkit assez coriace sévi sur le WEB.
Ce rootkit du nom de LinkOptimizer a commencé par se répandre sur des site WEB italiens pour commencer à toucher le reste du WEB.

Le rootkit est détecté (mais ne peut l'éradiqué) par Kaspersky sous le nom de troyen. Win32. RKDice.a, il est acompagné d'infection de type W32/Agent.VP

L'infection se proprage à travers des sites WEB utilisant des failles de sécurités, il convient donc de maintenir à jour son système

Marco Giuliani de l'équipe de Prevx1 a publié un PDF décrivant le fonctionnement de ce rootkit : http://www.pcalsicuro.com/gromozon.pdf
AgnesD a eu la gentillesse de nous traduire ce PDF sur le site xp.net.free.fr : http://xp.net.free.fr/articles/gromozon.php

par **Malekal_morte** » 15 sept. 2006 08:19

Un peu de lecture (en anglais) sur cette infection :
http://www.bleepingcomputer.com/securit ... /gromozon/
http://www.suspectfile.com/forum/viewtopic.php?t=170
http://www.symantec.com/enterprise/secu ... paghe.html

Castlecops :
http://wiki.castlecops.com/The_Gromozon ... nd_Removal

Attention : L'outil proprosé Prex1 ne fonctionne pas forcemment sur un Windows français:

par **Malekal_morte** » 11 nov. 2006 20:25

Une page de l'éditeur de sécurité du programme VrIT eXplorer qui décrit le fonctionnement du rootkit : http://www.viritpro.info/articoli/rootkit_d-e.htm

La traduction via babelfish

Une démo issu de l'anti-rootkit gmer qui démontre comment le rootkit peut se cacher de l'utilisateur et des antivirus : http://www.gmer.net/gromozon.wmv