LES MALWARES

RootKits

AGUELAL Hamza & BOUZID Mahmoud

M3S FI 2020 / 2021 – ENSIAS
 01 02 03
Les Malwares Les Rootkits Conclusion
Définition Définition
But But
Types Types
Propagation Propagation
Symptômes d’infection Symptômes d’infection
Protection Protection
01 Les Malwares
Définition
Le mot malware est un mot composé du mot « malicious » qui
signifie dans la langue anglaise : Bad boy ou quelqu'un malveillant
qui cause des dégâts et du mot software qui signifie logiciel alors on
a obtenue le mot malware ou logiciel malveillant.
Les malwares sont des logiciels ou des programmes développés par
des développeurs pour exécuter des tâches ou effectuer des
traitements souvent pour des choses illégales. Le mot malware aussi
est un terme générique utilisé pour désigner une variété de logiciels
hostiles ou intrusifs.

NB : les virus sont juste un type de la famille des MALWARES

But et Objectif
Les malwares constituent de facto une menace pour les individus et
les entreprises depuis le début des années 1970, lorsque le virus
« Creeper » est apparu pour la première fois. Depuis , le monde a été
attaqué par des centaines de milliers de variantes différentes de
logiciels malveillants, toutes motivés par l’intention de causer le
plus de perturbations et de dommages possible.
Alors l’objectif des malwares est de causer du dommage sur la cible
(ordinateur, serveur, mobile....) infectée, cela peut être pour un but
lucratif, pour un but d’espionnage ou la surveillance et pour but
d’endommager la cible.
Types des malwares
Comme on sait, les cybercriminels sont de plus en plus sophistiqués
dans leurs méthodes alors ils ont crées des différents types des
malwares avec chaque type a ses propres caractéristiques ainsi que
les objectifs se différent aussi. Dans cette partie on va voir des
différents types de malwares anis quelques descriptions pour les
bien connaître.
Virus
Type des malwares qui infectent les ordinateurs en
s’insérant dans les logiciels légitimes.
Ils se propagent via le réseau après un téléchargement
ou lors de l’échange données via un support comme
une clé USB ou à l’aide d’une pièces jointes, un
attachement dans un mail ou un lien tronqué …

Trojans – cheval de Troie

C’est un logiciel en apparence légitime mais contient
une fonctionnalité malveillantes.
Il est entré et installé sur l’ordinateur à l’insu de
l’utilisateur.
Vers
C’est un logiciel malveillant qui s’auto réplique et se
répond de manière automatique sur un réseau.
Cela est fait via l’exploitation de vulnérabilités ou en
utilisant des protocoles réseaux en s’authentifiant avec
des comptes utilisateurs volés.

Ransomwares
C’est un logiciel malveillant qui restreint l’accès à
l’ordinateur infecté et qui demande une rançon à
l’utilisateur pour redonner l’accès aux données.
Il crypte les données attaquées afin de les mettre
illisible pour l’utilisateur.
KeyLogger
C’est un logiciel malveillant d’ Espionnage permet de
collecter des données et des informations personnel
sans que l’utilisateur soit informer afin d’afficher des
pubs intempestives ou d’utiliser ces données à des
faits malveillants.

RAT (Remote Access Tool)

L’attaquant accède à l’ordinateur de la victime à l’aide
d’envoie des commandes à distance via une porte
dérobée.
La machine infectée devient un bot qui effectue les
actions de l’attaquant. (exemple : attaque de déni de
services DDoS)
Bootkit
C’est un logiciel malveillant qui s’installe en dehors du
système d’exploitation, par exemple dans le secteur de
boot et s’exécute au démarrage du système.
Il s’installe au niveau du FireWire dans le micro logiciel
des composants de l’ordinateur.

Rootkit
C’est un logiciel malveillant qui a pour but de cacher
sa présence sur le système et cacher la présence d’une
application malicieuse.
Il est difficile à le détecter car il infectera le système
d’une manière beaucoup plus furtive.
Autres :
HackTool :
Permet de sniffer le réseau, craquer les mots
de passe, scanner les services actifs d’un ordinateur…

Downloader :
Permet d’installer un autre logiciel malveillant
sur l’ordinateur.

PuP ( Potentially UnWanted Program ) :

Permet d’installer des applications et logiciels
non désirées à l’insu de l’utilisateur.
Rootkits
Définition et Buts
Rootkit est un programme, un logiciel malveillant qui a la possibilité d’accorder l’accès complet à
notre système d informatique par un opérateur distant.
C’est une collection d’outils qui permettent de gagner le contrôle sur un ordinateur, base sur l’idée
d’ouvrir des portes dérobées sur les systèmes victimes pour introduire des malwares, tels que des
virus, des Ransomwares, KeyLogger, etc.
Les Rootkits empêchent la détection de logiciels malveillants par l’antivirus.
L’installation des Rootkits pourra être effectuer par plusieurs méthodes, on peut citer les attaques de
phishing ou bien l’ingénierie sociale comme méthode efficace de donner les permissions
d’installation. Une fois installé, le Rootkits donne à l'entité distante un accès et un contrôle sur l’os
(accès admin).
Types
On trouve plusieurs types de Rootkits caractérisés par la manière dont le rootkit infecte,
fonctionne ou persiste sur le système victime.
Kernel mode rootkit :
conçu pour modifier les fonctionnalités d'un os. Il ajoute généralement son propre code à des
parties du noyau, le Kernel, exploitant le fait qu’ OSs permettent aux pilotes de périphériques ou
aux modules chargeables de s'exécuter avec le même niveau de privilèges que le Kernel.
User mode rootkit :
appelé application rootkit, s'exécute de la même manière qu'un programme utilisateur, peuvent
être initialisés comme d'autres programmes ordinaires lors du démarrage du système, ou ils
peuvent être injectés dans le système par un dropper. Varie entre OS, Par exemple, un rootkit
Windows se concentre généralement sur la manipulation des fonctionnalités de Windows
dynamique link Library files, mais pour Unix, une application entière peut être complètement
remplacée.
Bootkit :
infecte le MBR (Master Boot Record) d'un disque dur ou d'un autre périphérique de stockage
connecté. Les Bootkits sont capables de subvertir le processus de démarrage et de maintenir le
contrôle du système après le démarrage.

Firmware Rootkits :
exploitent les logiciels intégrés au micro logiciel et s’installent dans les images de micro logiciel
utilisées par les BIOS, cartes réseau …
Propagation
les Rootkits ne peuvent pas se propager d'eux-mêmes, généralement, ils se propagent en se
cachant dans des programme qui peuvent sembler légitimes et qui pourraient fournir des
fonctions légitimes.

Lorsque le user autorise un programme d'installation, le rootkit s'installe également et se

dissimule jusqu'à ce qu'un pirate l'active. Ils incluent plusieurs outils :
Banking credential stealers, password stealers, KeyLogger, antivirus disablers même des bots
pour des attaques DDoS.

L’installation des Rootkits peut être effectuer via plusieurs méthodes communs : phishing par
e-mail, des fichiers malveillants exécutables, des fichiers PDF ou des documents Word
malveillants, des drives compromis ou même le téléchargement de logiciels infectés à partir de
sites Web risquées.
Symptômes d’infection
Le concept du rootkit a comme objectif principale la non détection, afin de rester installer et
accessible sur le système victime, le hacker vise à garder le malware indétectable, ce qui signifie
qu'il peut ne pas y avoir beaucoup de symptômes détectables.

Mais on peut désigner un symptôme courant, la protection antimalware cesse de fonctionner. Un

antivirus qui s'arrête simplement de fonctionner indique qu'il y a une infection rootkit active.

Un autre symptôme d'une infection par rootkit peut être observé lorsque les paramètres de
Windows changent indépendamment, sans aucune action de l'utilisateur.
Enfin, des performances inhabituellement lentes ou une utilisation élevée du CPU et des
redirections de navigateur.
Protection
Il existe de nombreux outils de détection de Rootkits adaptés aux utilisateurs expérimentés ou aux
professionnels de l'informatique fournis par les fournisseurs d’antivirus qui proposent
généralement des scanners de Rootkits ou d'autres outils de détection de Rootkits. il convient de
veiller à ce que tout logiciel d'analyse de sécurité soit fourni par un éditeur réputé, comme les
acteurs malveillants sont connus pour distribuer des malware en tant que logiciels de sécurité.
La suppression des Rootkits peut être difficile, en particulier Kernel based rootkit ou bien
Firmware based. Alors que certains logiciels anti-rootkit sont capables de détecter et de supprimer
certains Rootkits, mais reste difficile à supprimer complètement.
Une approche de la suppression des Rootkits consiste à réinstaller l’OS. La suppression des boot
loader Rootkits peut nécessiter l'utilisation d'un système propre exécutant un OS sécurisé pour
accéder au périphérique de stockage infecté.
Concernant les rootkit chargés dans la RAM Le redémarrage supprimera l'infection, mais des
taches supplémentaires peuvent être nécessaires pour éliminer la source de l'infection, qui peut
être liée à des réseaux de commande et de contrôle sur le réseau local ou sur l'Internet public.
Conclusion
Le rootkit représente une menace silencieuse et longtemps redoutée par les experts en sécurité :
des logiciels malware ancrés dans le Kernel, BIOS ou micro logiciel des puces informatiques
modernes qui ne peuvent être expulsés en réinstallant le système d'exploitation ou même en
essuyant ou en remplaçant le disque dur.

Il n'est même pas facile de tracker ces types d'attaques car ils sont peu visibles, moins de
symptômes.

Pour éviter les rootkit, faut opter pour la protection des systèmes considérant la difficulté de
détecter, par exemple en mettant a niveau les OS quotidiennement ainsi qu’avoir une
autoformation afin d’éviter les risques du social engineering.