Bienvenue sur le blog Vers et Virus

McAfee vient de mettre à disposition sur son site un nouvel outil gratuit dédié à la détection de rootkits dans les environnements 32 bits de Windows 2000, XP et 2003 serveur. Il est disponible à l'adresse : http://vil.nai.com/vil/averttools.aspx

Aujourd'hui en version bêta, cet utilitaire permet de détecter la présence éventuelle d’un rootkit inconnu sur votre machine. Il permet à des utilisateurs avertis de désinfecter et de supprimer des rootkits de leur système.

Dans l’exemple suivant, j’ai infecté une machine avec une variante de Backdoor-BAC (le fameux Haxdoor de Corpse) ; j’avais pour cela désactivé mon anti-virus. Si celui-ci avait été activé, il aurait interdit l’installation (image 1 à gauche). Mais, une fois celle-ci réalisée, il n’est plus capable de voir les fichiers : la fonctionnalité rootkit joue bien son rôle (image 2 à droite) !

J’ai ensuite exécuté Rootkit Detective. Il  m’a révélé la présence de 6 fichiers et/ou processus cachés (image 3 à gauche) . Il ne m’a pas été proposé de suppression immédiate.  J’ai donc demandé à ce que les fichiers soient renommés à l’occasion d’un reboot de la machine (image 4 à droite) . Celui-ci m’a été immédiatement proposé après ce choix.

Une fois la machine redémarrée, un passage de l’anti-virus m’a confirmé la malveillance des fichiers et indiqué comment Rootkit Detective renommait les fichiers (image 5 ci-dessous - double extension .dll.REN  et .sys.REN).