COMMUNIQUÉ DE PRESSE Kaspersky Lab met en évidence un dangereux rootkit visant les systèmes Windows 64 bits Rueil, le 23 mai 2011 – Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique, annonce la détection de rootkits multifonctions susceptibles de représenter une menace pour les systèmes Windows 32 et 64 bits. La version 64 bits a pour principale caractéristique de ne pas tenter de contourner le système de protection du noyau PatchGuard mais d’utiliser une signature numérique spéciale réservée aux développeurs. Le rootkit est distribué via un téléchargeur, qui tente également d’installer d’autres logiciels malveillants. Les experts de Kaspersky Lab ont découvert une variante visant à télécharger et installer sur le système d’exploitation Mac OS X un pseudo-logiciel antivirus Rogue ou Fake, ainsi que d’autres programmes malveillants. Bien que ce malware ne puisse de toute évidence pas fonctionner en environnement Windows, il révèle que les cybercriminels manifestent un intérêt croissant pour les autres plates-formes. Les rootkits sont des programmes malveillants qui se présentent généralement sous la forme de pilotes (drivers) et peuvent s’exécuter au niveau du noyau d’un système d’exploitation en se chargeant en mémoire au moment du démarrage de l’ordinateur, ce qui rend leur détection difficile par les outils de protection habituels. Les rootkits en question sont propagés par l’intermédiaire d’un téléchargeur, exploitant un ensemble de fonctions malveillantes regroupées sous l’appellation « BlackHole Exploit Kit ». Typiquement, les ordinateurs infectés sont ceux des internautes qui se rendent sur des sites Web contenant le téléchargeur. Un certain nombre de vulnérabilités présentes dans des logiciels courants tels que JRE (Java Runtime Environment) et Adobe Reader sont utilisées pour attaquer la machine cible. Le téléchargeur infecte les systèmes Windows 32 bits et 64 bits avec l’un des deux rootkits correspondants. Page 1 « Le pilote 64 bits porte une sorte de signature numérique de test. Si Windows – Vista ou ultérieur – est amené à démarrer en mode TESTSIGNING, des applications peuvent lancer les pilotes comportant ce type de signature. Il s’agit d’une porte d’entrée spéciale que Microsoft a ménagée pour les développeurs de pilotes afin que ceux-ci puissent tester leurs créations. Des cybercriminels ont mis à profit cette faille qui leur permet de lancer leurs pilotes sans disposer d’une signature légitime », explique Alexander Gostev, expert en sécurité chez Kaspersky Lab. « Il s’agit d’un nouvel exemple de rootkit qui n’a pas besoin de contourner le système de protection PatchGuard intégré aux plus récents systèmes Windows x64. » Les deux rootkits présentent des fonctionnalités similaires. Ils bloquent les tentatives des utilisateurs d’installer ou de lancer les logiciels antimalware courants afin de se protéger efficacement en interceptant et en surveillant l’activité du système. Tandis que le rootkit laisse le PC vulnérable aux attaques, le téléchargeur s’efforce d’obtenir et d’exécuter du code malveillant, notamment l’antivirus Rogue pour Mac OS X, mentionné plus haut. Ce faux antivirus, également connu sous le nom de Hoax.OSX.Defma.f, est l’une des menaces émergentes pour Mac OS X, lequel est de plus en plus visé par les cybercriminels. Cet exemple montre que les logiciels malveillants gagnent en complexité et commencent à inclure plusieurs composants remplissant différentes fonctions. Ces menaces peuvent viser diverses versions de systèmes d’exploitation, voire d’autres plates-formes logicielles. Les produits de Kaspersky Lab sont capables de détecter et de déjouer avec succès le téléchargeur Trojan-Downloader.Win32.Necurs.a ainsi que les rootkits correspondants, Rootkit.Win32.Necurs.a et Rootkit.Win64.Necurs.a. A propos de Kaspersky Lab Fondé en 1997, Kaspersky Lab, éditeur international de solutions et de services de sécurité, protège plus de 300 millions d’utilisateurs à travers le monde. Ses solutions, destinées à un usage privé et professionnel, s'appuient sur le laboratoire où travaillent de nombreux « malware-doctors » parmi les plus réputés à l’échelle internationale. 24 h sur 24 h, 7 jours sur 7, les experts de Kaspersky Lab analysent, traitent les codes malicieux et développent les antidotes proposés aux utilisateurs via des mises à jour toutes les 45 minutes. Les technologies développées par Kaspersky Lab assurent la protection contre les programmes malveillants et la sécurité totale des informations, qu’elles soient stockées sur serveurs, postes de travail ou encore appareils mobiles. Page 2 Les laboratoires de tests indépendants, qui mesurent les performances des technologies disponibles sur le marché, ont confirmé à maintes occasions la supériorité des solutions conçues par Kaspersky Lab, retenues par plus de 120 acteurs majeurs de la sécurité informatique. En 10 ans, Kaspersky Lab est devenu un leader mondial, présent dans plus de 60 pays. Kaspersky Lab compte près de 2000 employés à travers le monde, dont plus de 700 chercheurs et développeurs, et dispose de bureaux en Russie, en France, en Allemagne, en Australie, au Benelux, au Canada, en Chine, en Corée du Sud, en Espagne, aux Etats-Unis, en Grande-Bretagne, en Italie, au Japon, aux Pays-Bas, en Pologne, en Suède… Pour plus d’informations concernant Kaspersky Lab : http://www.kaspersky.fr Pour plus d’informations sur l’actualité virale : http://www.viruslist.fr Contacts presse : Agence onechocolate Joëlle Rousseau [email protected] ; Kaspersky France Jean-Philippe Bichard Communication Director [email protected] Tél. +33 1 41 31 75 07 Tél. 06 09 61 84 68 / +33 1 41 39 04 89 © 2011 Kaspersky Lab. Les informations contenues dans ce document peuvent être modifiées sans préavis. Les seules garanties associées aux produits et services Kaspersky Lab figurent dans les clauses de garantie qui accompagnent lesdits produits et services. Le présent document ne peut être interprété en aucune façon comme constituant une garantie supplémentaire. Kaspersky Lab décline toute responsabilité liée à des erreurs ou omissions d’ordre technique ou éditorial pouvant exister dans ce document. Page 3