Un rootkit (en Français : "kit de démarrage") est un programme malveillant qui est utilisé par une personne malintentionnée et qui dissimule la présence de programmes néfastes aux yeux de l'utilisateur du système et des logiciels de sécurité (antivirus, firewall). Certains Rootkits installent des backdoors (voir l'article sur les chevaux de Troie). Contrairement aux virus ou bien aux vers, les rootkits ne sont pas capables de se dupliquer.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !
Méthode en utilisant Gmer
Gmer est un détecteur de rootkits puissant.
Utilisation :
Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
Lancez Gmer
Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
Des lignes rouges doivent apparaître en cas d'infection :
Sur ces lignes rouges:
Services: Clic-droit puis delete service
Process: Clic-droit puis kill process
Adl, file: Clic-droit puis delete files
Comment savoir s'il s'agit d'un rootkit ?
Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.
A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
.dat
.exe
_nav.dat
_navps.dat
.sys
Exemple d'infection :
C:Users\crilaud\AppData\Local\igeysiy.dat
C:Users\crilaud\AppData\Local\igeysiy.exe
C:Users\crilaud\AppData\Local\igeysiy_nav.dat
C:Users\crilaud\AppData\Local\igeysiy_navps.dat
ou beaucoup sont des fichiers ".sys" dans \System32\Drivers.
Pour installer un rootkit, il est nécessaire d'avoir les droits administrateurs de la machine. Détecter sa présence est plus compliqué que pour d'autres malwares.
Voici les principales actions des rootkits :
Ils modifient le fonctionnement du système d'exploitation (et éventuellement son noyau).
Ils sont invisibles (processus cachés) ce qui les rend difficiles à désinfecter.
Remarque :
La majorité des internautes utilisent des comptes administrateurs au lieu d'utiliser un compte limité et ceci facilite fortement l'installation de rootkits sur la machine !
Méthode en utilisant Gmer
Gmer est un détecteur de rootkits puissant.
Utilisation :
Rendez-vous sur cette page , et cliquez sur "Download EXE" pour télécharger Gmer sous un nom aléatoire (Pour tromper le Rootkit).
Lancez Gmer
Le programme se lance et fait un auto scan (il s'agit de l'onglet : Rootkit/Malware).
Des lignes rouges doivent apparaître en cas d'infection :
Sur ces lignes rouges:
Services: Clic-droit puis delete service
Process: Clic-droit puis kill process
Adl, file: Clic-droit puis delete files
Comment savoir s'il s'agit d'un rootkit ?
Quand Gmer trouve un rootkit ou un fichier caché (hidden) cette ligne devient rouge.
A la fin des lignes vous devriez voir (en cas d'infections) les extensions suivantes :
.dat
.exe
_nav.dat
_navps.dat
.sys
Exemple d'infection :
C:Users\crilaud\AppData\Local\igeysiy.dat
C:Users\crilaud\AppData\Local\igeysiy.exe
C:Users\crilaud\AppData\Local\igeysiy_nav.dat
C:Users\crilaud\AppData\Local\igeysiy_navps.dat
ou beaucoup sont des fichiers ".sys" dans \System32\Drivers.