Forum XP.Net -Sécurité Informatique-

- Dépannages - Prévention - Conseils - Aide -
Nous sommes actuellement le Jeu 28 Mar 2024 - 11:40

Heures au format UTC + 1 heure




Publier un nouveau sujet Répondre au sujet  [ 8 messages ] 
Auteur Message
 Sujet du message: à propos des Rootkits
MessagePublié: Mar 17 Oct 2006 - 23:21 
Hors-ligne
Dégourdi
Dégourdi
Avatar de l’utilisateur

Inscrit le: Lun 25 Sep 2006 - 22:39
Messages: 26
Que pensez vous de ces nouvelles bébêtes très vilaines qui courent sur la toile en ce moment :twisted: :twisted: ?
Qu'utilisez vous pour pouvoir les déceler et les éradiquer ?
Sur mon PC, j'ai actuellement juste Spy Sweeper qui semble avoir le pouvoir d'en faire la chasse. Par contre je ne suis pas sûr que mon antivirus (NOD32) soit suffisamment prévu pour :?:

"Les Rootkits nouvelle menace pour XP SP2"

Nos confrères américains d'eWeek.com rapportent que près de 20% des logiciels malveillants supprimés des systèmes Windows XP Service Pack 2 s'avèrent être des rootkits(wiki) dissimulés. L'information a été divulguée par le responsable de la division sécurité de Microsoft. Un de ses collègues, Jason Garms, architecte et chef produits des technologies anti-malwares, précise que les rootkits dérivés du rootkit FU, en open-source, figurent parmi les logiciels les plus souvent éradiqués par l'utilitaire de suppression des logiciels malveillants publié chaque mois par Microsoft. Le rootkit nommé FU est d'ailleurs classé cinquième dans la liste des logiciels indésirables les plus souvent éliminés par l'outil du géant de Redmond. FU n'est pas le seul au triste hit-parade des infections numériques, les rootkis basés sur WinNT/Ispro étant également dans le top cinq tous les mois. Microsoft note également qu'Hacker Defender qui est commercialisé sur la toile est régulièrement recensé.

la suite ci-dessous

http://www.clubic.com/actualite-29894-l ... p-sp2.html
Phil :P


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mar 17 Oct 2006 - 23:48 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Merci Phil, pour cette information , que je découvre tout comme toi, par conséquent pas de réponse sur ce sujet.

Par contre, tu dis que Spy Sweeper gère ce genre de fleau. Comment le vois-tu ? J'ai la version 4.5.9 build703 . As-tu une version plus récente ?

Merci pour ta réponse,

@+

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 18 Oct 2006 - 19:30 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:wink:
L'article date aps mal.... dec 2005.
mais ce que l'on nous promettait est une réalité aujourd'hui.
sans sombrer dans la paranoïa.
:lol:
Il existe plusieurs types de Rootkits.
Ceux détéctés et soignés par les AntiSpy classiques ( Spysweeper Prevx et d'autres) ou par des manips nécéssitants des outils précis.
Les antirootkits de tous poils se développent chez de nombreux éditeurs.

Et ceux qui posent problémes car soit mal "soignés" évoluant trop vite, ou mal connus et surtout bien cachés.
car c'est le propre du rootkit que de se camoufler...
:wink:

Le probléme pour le particulier est de gérer cela seul.
Obligation de passer sur un forum afin de demander un avis complémentaire.
et un forum réputé ou de qualité.
Ici ou chez belver nous avons des liens avec des helpers d'autres forums nous permettant dans le doute d'avoir des avis de personnes éclairées en la matiére.

Si cela vous intéresse j'avais traduit ceci qui date un peu.
http://xp.net.free.fr/articles/gromozon.php
C'est long compliqué parfois (mais pas toujours) et permet de saisir un peu mieux les moyens de propagation et de camouflage de ce type de parasite.
Pour le futur la prévention ou l'utilisation de méthodes de virtualisation semblent les seules issuses.
le rootkit en question mute toujours, il déjoue ou bloque les outils spécifiques et la seule alternative à ce jour est le format.
:evil:

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 18 Oct 2006 - 19:46 
Hors-ligne
Dégourdi
Dégourdi
Avatar de l’utilisateur

Inscrit le: Lun 25 Sep 2006 - 22:39
Messages: 26
kleist, j'ai fait récemment une mise à jour de Spy Sweeper (5.0.7.1608) j'ai fait cette mise à jour à partir de ma version 4. Cette version 5 signale qu'elle fait la chasse aux rootkits

AgnèsD merci pour ton avis, néanmoins j'aimerais savoir ce que tu entends par "...Pour le futur la prévention ou l'utilisation de méthodes de virtualisation semblent les seules issuses."

Par ailleurs, j'ai lu sur la toile que certains softs arrivent à déjouer le rôle de ces nouvelles bestioles :

1-SmitfraudFix http://telechargement.zebulon.fr/259-smitfraudfix.html
http://siri.urz.free.fr/Fix/SmitfraudFix.php

2-Gmer qui permet de les mettre en évidence
http://www.gmer.net/
3- Icesword
http://forum.zebulon.fr/index.php?showtopic=96713


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Mer 18 Oct 2006 - 20:04 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
:wink:
La prévention c'est la prudence.
on attrape pas des rootkits si on a un ordi bien réglé et un comportement prudent. (jusqu'a présent)
la virtualisation c'est l'utilisation de logiciels permettant de ne pas écrire réellement sur le disque. quoique cela ne soit pas non plus à 100%
reste le surf sous Live CD....
peut être rester prudent est 'il le plus simple ?
:lol:
Regarde là il y a des logiciels de ce type. nicM se fera un plaisir de détailler.
http://forumxp.net.free.fr/phpBB2/viewforum.php?f=36

Gromozon bloque Gmer entre autres.
;)
Et oui ils détectent bien. a condition de savoir les utiliser et de savoir ce que l'on cherche exactement.
Cela demande beacoup de temps et d'énergie.

Ces logiciels peuvent être utilisés dans certains cas, mais ne suffisent pas toujours.
Smitfraudfix lui sert plutôt pour les détournements de navigateurs à moins que S!ri y ai rajouté certaines choses.
:roll:
mais la je ne sais pas.

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Mer 18 Oct 2006 - 21:28 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Merci Phil pour ta réponse et toutes ces informations, ainsi qu'à toi , AgnesD :D

J'avoue, que je suis difficilement, un des sites est en anglais, malgré un tuto, j'hésite à utiliser le log SmitFraudFix, pour IceWord, n'en parlons pas, je n'ai pas compris son utilisation et Gmer :( La fatigue, pas eu le courage de tout lire.

@+

_________________
kleist


Haut
 Profil  
 
 Sujet du message:
MessagePublié: Jeu 19 Oct 2006 - 07:25 
Hors-ligne
Site Admin
Site Admin
Avatar de l’utilisateur

Inscrit le: Dim 4 Sep 2005 - 13:42
Messages: 2866
Localisation: Hérault
Je précisera plus tard dans la journée ou tenterais de monter un mini dossier sur le sujet.
Pour ce qui est de ces logiciels (GMer icesword) je préfére signaler qu'ils ne sont pas à utiliser sans savoir ce que l'on fait.
Un tuto et surtout l'expérience sont un minimumpour éradiquer quoi que ce soit ils permettent une analyse du systéme pas plus.

Smitfraudfix n'enléve que des fichiers clefs pré déterminés pour les RKits ce n'est pas une solution à moins que par hasard un ou deux ait été inclus dans le fix mais je n'en suis pas sure du tout.

_________________
Image
Image


Haut
 Profil Envoyer un e-mail  
 
 Sujet du message:
MessagePublié: Jeu 19 Oct 2006 - 19:02 
Hors-ligne
Amateur
Amateur
Avatar de l’utilisateur

Inscrit le: Dim 1 Oct 2006 - 09:30
Messages: 97
Donc prudence pour ces logs. Merci AgnesD, pour cette confirmation. Ils sont mis de côté, seront utilisé si c'est vraiment necessaire :D

_________________
kleist


Haut
 Profil  
 
Afficher les messages depuis:  Trier par  
Publier un nouveau sujet Répondre au sujet  [ 8 messages ] 

Heures au format UTC + 1 heure


Qui est en ligne ?

Utilisateurs parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité


Vous ne pouvez pas publier de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas insérer de pièces jointes dans ce forum

Rechercher pour:
Sauter vers:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Translated by Xaphos © 2007, 2008, 2009 phpBB.fr