C'est le Rootkit le plus dangereux actuellement sur Windows XP,alors attention !
Mais,Pas encore ,sur Vista , +)
Un Rootkit ,c'est quoi ?Un rootkit s'utilise après une intrusion et l'installation d'une porte dérobée destinée à camoufler tous les changements effectués lors de l'intrusion. C'est comme cela que l'on peut préserver l'accès à la machine un maximum de temps. Les rootkits sont de ce fait difficilement détectables et seule une analyse forensique approfondie peut en révéler la présence.
La fonction principale du rootkit est de camoufler la mise en place d’une ou de plusieurs « portes dérobées ». Ces portes dérobées (utilisables en local ou à distance) permettent au pirate de s’introduire à nouveau au cœur de la machine sans pour autant exploiter une nouvelle fois la faille ayant permis l’accès frauduleux initial, faille qui serait tôt ou tard comblée.
Sinowal / Mebroot, un rootkit diablement efficace qui peut se soustraire à des programmes antivirus.
Cette semaine, je vais concentrer sur les meilleures techniques disponibles pour tenter d'éliminer l'auteur de l'infraction, si vous êtes l'un des malheureux qui ont déjà été touchés.
il peut être difficile en tant que diable pour se débarrasser de Sinowal / Mebroot une fois que votre PC a obtenu. (Sinowal est le nom d'une ancienne variante et Mebroot est sa forme plus récente).Mebroot infecte un PC de Master Boot Record (MBR), le premier secteur d'un disque dur, où il est invisible pour le commun des agents antivirus. Comme je l'ai dit la semaine dernière, votre meilleure défense contre l'infection est d'utiliser, sur une base régulière, un logiciel, tels que scanner gratuit Secunia Personal Software Inspector (
téléchargez-le sur la page de téléchargement Secunia).
Idéalement, vous devriez lancer un scan PSI droit après l'installation de Microsoft Patch des mises à jour pour Windows. Le PSI scan vos applications tierces, vous pouvez donc les patcher avec les derniers correctifs.
Media-player sans patchs logiciels -
Adobe Reader,
Flash Player, Apple QuickTime, et autres - sont particulièrement vulnérables à Mebroot et d'autres menaces, il est donc vital de garder vos applications up-to-date.
Mais, aussi prudents que vous êtes, il est possible que votre PC ont été infectés lors de votre visite en apparence légitime à un site moins-que-plein-jour navigateur ou pendant que vous utilisez une application avec un trou de sécurité sans patchs.
Des tests d'antivirus entreprise, le 21 octobre,pour le virus-Rootkit Sinowal-Mebroot.
Seulement 10 des 35 programmes antivirus (28,6%) a correctement identifiés ou signalés le Virus.
Même le meilleur outil ne peut pas être 100% efficace contre une menace qui évolue aussi rapidement que cette terreur.
L'Utilisation de F-Secure à développer un utilitaire de nettoyage de rootkits ,très efficace.
- Entreprise de sécurité F-Secure est à l'avant-garde de la réponse du secteur de Mebroot. F-Secure Kasslin Kimmo ,chercheur, a fait une présentation devant une salle de conférence à la conférence Virus Bulletin en Octobre, au cours de laquelle il a expliqué le Mebroot menace en ces termes:
* Mebroot est le plus avancé et furtif "malware" , vu jusqu'à présent.
* Quand une machine infectée est lancé, Mebroot charges premier et survit à travers le démarrage de Windows.
* Mebroot utilise un mécanisme d'installation très complexe, en essayant de contourner la sécurité des produits et de rendre plus difficile l'analyse automatique.
* En tant que charge utile, Mebroot attaques plus de 100 banques en ligne, en essayant de voler de l'argent que les utilisateurs ne leur banque en ligne sur les machines infectées.
F-Secure,soutient que son
Blacklight rootkit scanner détecte et supprime Mebroot. F-Secure Mebroot dit aussi nécessité la mise au point de nouvelles techniques de détection entièrement.Télécharger-le :
ICI , le Blacklight est un gratuiciel,disponible.
Pour obtenir les meilleures chances de détection, vous pouvez tester votre PC avec plusieurs antirootkit programmes, dont beaucoup sont gratuits. Pour un examen complet de plusieurs offres de haut, voir Scott Spanbauer du 22 Mai Best Software colonne.
Malheureusement, je ne connais pas de fabricant de logiciel qui prétend qu'il peut détecter avec fiabilité - et encore moins supprimer - chaque variante possible de Mebroot.
Sinon,si c'est trop tard!
Reformater le disque dur de la machine, réinstaller Windows et vos applications, puis copier soigneusement vos données.Et soiyer très sûr de maintenir enfoncée la touche Shift à chaque fois que vous insérez une clé USB. La touche Maj contourne le comportement du Windows AutoPlay , ce qui fait que tous les logiciels malveillants ont moins de chances de fonctionner automatiquement.
Enfin, installer et utiliser le Secunia Personal Software Inspector, chaque mois.
C00L !
REF.: Windows Secrets