10
01
2007
Test : Logiciels Anti-Rootkits
- Rootkit - Lien permanent - 5435 lecture(s)
Les Rootkits sont présent depuis les années 90 sur les systèmes Unix. Les premiers sont apparrues sur Windows en 2001, mais leurs proliférations n'est devenu grandissantes qu'entre 2003 et 2005.
Surtout connu du grand public depuis l'affaire des DRM de Sony, voir les articles : DRM de Sony, Virus basé sur le rootkit de Sony, et DRM, Sony fait marche arrière.
De plus en plus de malwares utilisent la technique des rootkits pour se dissimuler sur votre ordinateur et deviennent ainsi indétectables par les protections classiques que sont les antivirus et antispywares. Seul un logiciel spécialisé peut les détecter, se sont les anti-rootkits.
Pour ce test, une dizaine de logiciels AntiRootkit ont été testé sur la trentaine que j'ai recensés.
Surtout connu du grand public depuis l'affaire des DRM de Sony, voir les articles : DRM de Sony, Virus basé sur le rootkit de Sony, et DRM, Sony fait marche arrière.
De plus en plus de malwares utilisent la technique des rootkits pour se dissimuler sur votre ordinateur et deviennent ainsi indétectables par les protections classiques que sont les antivirus et antispywares. Seul un logiciel spécialisé peut les détecter, se sont les anti-rootkits.
Pour ce test, une dizaine de logiciels AntiRootkit ont été testé sur la trentaine que j'ai recensés.
On peut les classés en trois catégories :
La fonction principale du rootkit est de camoufler. Les rootkit opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).
Les trojans, keyloggers, vers et malwares peuvent utiliser la technique des rootkits pour se rendre invisible et donc indétectable par les moyens de détections classiques. Mais on peut aussi s'en servir caché un dossier ou une application.
Rootkit - Scanner :
Aucuns des trois logiciels citer plus haut n'a été capable de détecter "Vanquish" un rootkit de nouvelle génération qui fonctionne par injection DLL.
Le réputé Rootkit Revealer détecte le populaire rootkit "HackerDefenser" (d'ancienne génération).
Des logiciels idéales pour une première approche.
Rootkit - Désinfection :
Dans cette catégorie on retrouve principalement les antirootkits (en version béta) des différents éditeurs d'antivirus. Les scans sont rapide et simple a effectuer. Seule les fichiers, processus ou clé infectés apparaissent dans la fenêtre des résultats. Un dernier clic et vous nettoyer votre système. Simple et efficace.
Un bon point pour "Unhackme" un logiciel russe qui a détecté "Odyysee Rootkit" qui cache des processus en activité.
"Rootkit Uncover" de Bitdefender est l'un des plus rapide et l'un des meilleur en détection.
Mais celui qui m'a le plus impressionné est "AVG Anti-Rootkit". Rapide, fiable et terriblement efficace.
Tous c'est logiciel se base sur une définition de rootkits connu. Aucun n'est infaillible et de plus aucune mise à jour automatique n'existe (pour le moment), il faut installer à chaque fois la dernière version du logiciel pour une détection maximale.
Rootkit - Outils spéciaux :
Des outils prévu spécialement pour la chasse aux rootkits permettent de scanner votre système au plus profond.
Leur utilisation demande de bonne connaissance. Les fausses alertes sont fréquentes, attention aux manipulations irréversibles (et fatal pour votre OS).
"System Virginity Verifier" le principe de détection à l'air intéressant (sur le papier), dans la réalitée beaucoup de fausses alerte, "Vanquish" non-détecter, les résultats de l'analyse affiché dans un fichier "texte" peu exploitable.
"Rootkit Shark" et "Raide" ne détectent pas non plus le rootkit "Vanquish".
A l'heure actuelle les seules recommandables sont "Gmer" et "Icesword".
"Helios" aurait pu en faire parti. Dommage que le logiciel consomme beaucoup, beaucoup, trop de ressource. De plus il n'est compatible qu'avec Windows XP sp2 et doit disposé de Microsoft .Net Framework 2.0, nécessite 512Mo de Ram et un processeur supérieur à 1Ghz.
Mention spécial pour "Rootkit Unhooker". Le programme ne fait que 70 Kbit et est réellement performant en détection. Le titre de fenêtre est généré aléatoirement (comme pour Icesword), car certains programmes malveillants se basent sur les titres de fenêtres pour empêcher des programmes de contre mesures de se lancer.
Quel est la bonne stratégie à adopter :
Un anti-virus classique + un firewall + un système et des applications à jour + la combinaisons de deux logiciels anti-rootkit. Par exemple AVG ou Bitdefender ou Sophos couplé avec Gmer ou Icesword.
Sur cette page, j'ai recencés plus d'une trentaine de logiciels Anti-Rootkits. (A ma connaissance la plus complète).
Beaucoup sont en version "béta", il est trop tôt pour dire quels seront les logiciels "références". Pour le moment il me s'emble plutôt que se sont les "rootkits" qui ont une avance sur les "anti-rootkits".
Le phénomène est grandissant et les utilisateurs méconnaissent la menace.
D'autres articles sont déjà en préparation, donc l'un sur les différentes techniques employées par les Rootkits et les termes utilisés.
Si vous avez testez l'un des programmes citer ou si vous en connaissez d'autres, merci de faire partager vos constats en ajoutant un commentaire.
(Les commentaires ne seront ajouter qu'après validation de l'admin du site dans le but d'éviter les Sblogs).
- Ce sont de pur scanner on peut citer "Rootkit Revealer", "Rootkit Hook Analyser", "Hook Explorer". Ils permettent juste la détection.
- Ce sont les logiciels qui recherche les traces des rootkits et qui savent aussi désinfecter en les supprimants. Ce sont les plus courants et les plus nombreux, on peut citer : "AVG AntiRootkit", "F-Secure Blacklight", "Sophos AntiRootkit".
- Ce sont des AntiRootkits qui proposent en plus diverses outils. C'est logiciels "Gmer", "Dark Spy", "Icesword", sont réservés à des utilisateurs confirmés.
La fonction principale du rootkit est de camoufler. Les rootkit opèrent une suite de modifications, notamment au niveau des commandes système, voire du noyau (kernel).
Les trojans, keyloggers, vers et malwares peuvent utiliser la technique des rootkits pour se rendre invisible et donc indétectable par les moyens de détections classiques. Mais on peut aussi s'en servir caché un dossier ou une application.
Rootkit - Scanner :
Aucuns des trois logiciels citer plus haut n'a été capable de détecter "Vanquish" un rootkit de nouvelle génération qui fonctionne par injection DLL.
Le réputé Rootkit Revealer détecte le populaire rootkit "HackerDefenser" (d'ancienne génération).
Des logiciels idéales pour une première approche.
Rootkit - Désinfection :
Dans cette catégorie on retrouve principalement les antirootkits (en version béta) des différents éditeurs d'antivirus. Les scans sont rapide et simple a effectuer. Seule les fichiers, processus ou clé infectés apparaissent dans la fenêtre des résultats. Un dernier clic et vous nettoyer votre système. Simple et efficace.
Un bon point pour "Unhackme" un logiciel russe qui a détecté "Odyysee Rootkit" qui cache des processus en activité.
"Rootkit Uncover" de Bitdefender est l'un des plus rapide et l'un des meilleur en détection.
Mais celui qui m'a le plus impressionné est "AVG Anti-Rootkit". Rapide, fiable et terriblement efficace.
Tous c'est logiciel se base sur une définition de rootkits connu. Aucun n'est infaillible et de plus aucune mise à jour automatique n'existe (pour le moment), il faut installer à chaque fois la dernière version du logiciel pour une détection maximale.
Rootkit - Outils spéciaux :
Des outils prévu spécialement pour la chasse aux rootkits permettent de scanner votre système au plus profond.
Leur utilisation demande de bonne connaissance. Les fausses alertes sont fréquentes, attention aux manipulations irréversibles (et fatal pour votre OS).
"System Virginity Verifier" le principe de détection à l'air intéressant (sur le papier), dans la réalitée beaucoup de fausses alerte, "Vanquish" non-détecter, les résultats de l'analyse affiché dans un fichier "texte" peu exploitable.
"Rootkit Shark" et "Raide" ne détectent pas non plus le rootkit "Vanquish".
A l'heure actuelle les seules recommandables sont "Gmer" et "Icesword".
"Helios" aurait pu en faire parti. Dommage que le logiciel consomme beaucoup, beaucoup, trop de ressource. De plus il n'est compatible qu'avec Windows XP sp2 et doit disposé de Microsoft .Net Framework 2.0, nécessite 512Mo de Ram et un processeur supérieur à 1Ghz.
Mention spécial pour "Rootkit Unhooker". Le programme ne fait que 70 Kbit et est réellement performant en détection. Le titre de fenêtre est généré aléatoirement (comme pour Icesword), car certains programmes malveillants se basent sur les titres de fenêtres pour empêcher des programmes de contre mesures de se lancer.
Quel est la bonne stratégie à adopter :
Un anti-virus classique + un firewall + un système et des applications à jour + la combinaisons de deux logiciels anti-rootkit. Par exemple AVG ou Bitdefender ou Sophos couplé avec Gmer ou Icesword.
Sur cette page, j'ai recencés plus d'une trentaine de logiciels Anti-Rootkits. (A ma connaissance la plus complète).
Beaucoup sont en version "béta", il est trop tôt pour dire quels seront les logiciels "références". Pour le moment il me s'emble plutôt que se sont les "rootkits" qui ont une avance sur les "anti-rootkits".
Le phénomène est grandissant et les utilisateurs méconnaissent la menace.
D'autres articles sont déjà en préparation, donc l'un sur les différentes techniques employées par les Rootkits et les termes utilisés.
Si vous avez testez l'un des programmes citer ou si vous en connaissez d'autres, merci de faire partager vos constats en ajoutant un commentaire.
(Les commentaires ne seront ajouter qu'après validation de l'admin du site dans le but d'éviter les Sblogs).
Commentaires
Bonjour,
Très content de trouver autant d'infos sur un même site concernant les rootkits.
PC infecté par "svkp.sys" je ne sais ni comment ni quand, toujours est-il que le fichier était introuvable. Seules les clés de registre étaient présentes. Je m'en suis rendu compte en examinant le journal des évènements (...le processus svkp ne peut démarrer...) Après essais de divers log (sophos, blacklight...) sans résultat et de longues recherches sur le web, j'ai trouver une solution : Nettoyage efficace avec sdfix.exe downloads.andymanchesta.c...
Outil efficace donc, le connaissez-vous?
Bien à vous.
BL
Concernant l'utilitaire de désinfection SDfix, personnellement je ne l'ai jamais employer. Il est très utiliser sur les forums d'entraide car il permet d'éditer un rapport. Il va rechercher les éléments ADS (Alternate Data Stream) qui sont parfois utilisé par les spywares, les programmes malveillants (malware) et les virus.
Pour la vérification du système je préfère utiliser les anti-rootkits classés dans la famille "outils spéciaux". Plus performant mais qui demande de bonnes connaissances. L'un de mes favoris "IceSword", mais il pêche dans la détection des "ADS". Voilà pourquoi il faut (en plus) utiliser par exemple "ADS Locator".
Plusieurs éditeurs de logiciels anti-virus propose dans leur version 2007 un module anti-rootkit.
Que valent-ils ?
Lorsqu'on voit la difficulté (par des logiciels spécialisés) dans la dectection des rootkits, j'ai de sérieux doute concernant l'efficacité des premiers.
Merci pour votre commentaire, qui je l'espère va tirer d'affaire d'autres lecteurs (malchanceux).
Amicalement ID,