Cela fait maintenant presque 20 ans que les rootkits existent, et qu’ils permettent aux pirates informatiques d’accéder aux données des utilisateurs afin de les voler sans qu’ils ne soient détectés pendant un certain temps. Ce terme désigne généralement certains outils de malware qui sont conçus spécialement pour se dissimuler dans les ordinateurs infectés et permettent aux pirates de contrôler l’ordinateur.
Un rootkit est un terme anglais qui désigne un type de malware conçu pour infecter un PC et qui permet au pirate d’installer une série d’outils qui lui permettent d’accéder à distance à un ordinateur. Le malware sera habituellement bien caché dans le système d’exploitation et ne sera pas détecté par les logiciels anti-virus et autres outils de sécurité.
Le rootkit peut contenir de nombreux outils malicieux tels qu’un enregistreur de frappe, un programme de capture de mots de passe, un module pour voler les informations de cartes et de comptes bancaires en ligne, un robot afin de mener des attaques DDoS ou possédant des fonctionnalités capables de désactiver les logiciels de sécurité. Les rootkits agissent typiquement comme une porte dérobée qui permet au pirate de se connecter à distance à l’ordinateur infecté quand il le souhaite ainsi que d’installer ou de supprimer des components spécifiques.
Certains rootkits utilisés sur Windows de nos jours incluent TDSS, ZeroAccess, Alureon, Necurs.
Les deux types de rootkits principaux sont les rootkits en mode utilisateur et ceux en mode noyau.
Les rootkits en mode utilisateur sont conçus pour fonctionner au sein du système d’exploitation de l’ordinateur comme une application. Ils exécutent leur comportement malicieux en piratant les applications en fonctionnement sur l’ordinateur ou en remplaçant la mémoire utilisée par une application. Il s’agit du type de rootkit le plus commun.
Les rootkits en mode noyau fonctionnent au niveau le plus profond du système d’exploitation du PC et donnent au pirate une série de privilèges très puissants. Après l’installation d’un rootkit en mode noyau, un pirate obtient un contrôle total de l’ordinateur compromis et la possibilité de faire tout ce qu’il veut sur celui-ci. Ce type de rootkit est habituellement plus complexe que les rootkits en mode utilisateur et c’est pourquoi ils sont moins courants. Ce type de rootkit est également plus difficile à détecter et à supprimer.
Il existe également d’autres variantes moins courantes, telles que les bootkits, qui sont conçus pour modifier le démarrage de l’ordinateur, le logiciel fonctionne avant que le système d’exploitation ne soit lancé. Ces dernières années, un nouveau type de rootkits ciblant les mobiles a émergé pour attaquer les smartphones, et plus particulièrement les appareils Android. Ces rootkits sont souvent associés à une application malicieuse téléchargée à partir d’une boutique d’applications ou d’un forum appartenant à un tiers.
Détecter la présence d’un rootkit sur un ordinateur peut être difficile compte tenu du fait que ce type de malware est conçu pour être dissimulé et effectuer son travail en arrière plan. Il existe des utilitaires conçus pour rechercher les rootkits connus et inconnus grâce à différentes méthodes tels que l’utilisation de signatures ou une approche comportementale qui tente de détecter les rootkits en étant à l’affût de comportements connus. Supprimer un rootkit est un procédé compliqué et cela requiert habituellement des outils spécifiques tels que TDSSKiller, un utilitaire de Kaspersky Lab qui peut détecter et supprimer les rootkits TDSS.
Dans certains cas, la victime devra peut-être réinstaller son système d’exploitation si l’ordinateur est trop endommagé.
Page original de l'article.
Les rootkits peuvent rendre le système instable. Avant de procéder à la suppression, il est fortement conseillé de sauvegarde les documents importants.
D'autre part, durant la suppression, fermez tous les programmes actifs et désactivez la protection antivirus.
Gardez bien les rapports de scan afin de les soumettre aux forums si par la suite vous désirez être aidé.