Sécurité : un rootkit rusé qui squatte le MBR

Un nouveau rootkit (logiciel malveillant qui permet d'ouvrir une porte dérobée sur un ordinateur) particulièrement vicieux a été détecté par les chercheurs du « SANS Institute's Internet Storm Center » et par Symantec.

Ce rootkit se distingue par le fait qu'il soit capable de résider au niveau du MBR des Disques durs (Master Boot Record, également appelé Zone d'amorce ou secteur 0). De fait, ce rootkit se charge avant même le système d'exploitation et arrive à échapper à la plupart des antivirus une fois qu'il a été installé...

Les origines de ce rookit restent inconnues, il aurait cependant déjà contaminé plus de 5000 ordinateurs à travers le monde. Uniquement compatible avec Windows XP, il pourrait être propagé de différentes façons. La plupart du temps à travers un fichier exécutable qui se charge d'installer le rootkit dans le MBR s'il est lancé. S'il était porté sur Windows Vista, le rootkit en question pourrait provoquer un avertissement de l'UAC (User Account Control) puisqu'il requiert les droits d'administrateur pour s'installer.

Les créateurs du rootkit auraient par ailleurs réussi à voler les données liées à un « proof of concept » (preuve de concept) mis au point par Derek Soeder et Ryan Permeh de eEye Digital Security qui voulait, en 2005, démontrer que la création d'un logiciel malveillant était possible.

Les différentes firmes d'antivirus précisent qu'elles vont agir pour détecter ce rootkit avant qu'il ne soit installé sur la machine. En cas de contamination, la réparation demande un passage par la console d'administration afin de restaurer le MBR, chose que ne peuvent faire les antivirus depuis Windows. Le rootkit dissimulé serait utilisé pour installer discrètement des Troyens spécialisés dans les vols de coordonnées bancaires... Les spécialistes en sécurité recommandent aux utilisateurs avancés d'activer dans leur BIOS l'option qui permet de protéger le MBR en écriture.