Les rootkits sur Windows : le fonctionnement, détection et suppression

Les rooktits dans Windows sont des logiciels malveillants sophistiqués et peu connus des utilisateurs.
Ils font souvent l’objet de fantasmes et de mythes.
Souvent sur les forums, on peut voir des personnes qui parlent de piratage de leurs connexions Wi-Fi par le voisin pour implanter un rootkit.
Ainsi, les utilisateurs ont tendance à utiliser toutes sortes d’anti-rootkits et de logiciels de désinfections peu fiables.

Dans cet article, vous allez voir ce que ce sont les rookits et comment ça marche.
Comment supprimer les rookits et enfin comment s’en protéger.

Les rootkits dans Windows : comment ça marche ?

Les rootkits sont des menaces informatiques particulières.
Ainsi on les présente comme des logiciels malveillants sophistiqués.
La définition est en général : un logiciel malveillant capable de se dissimuler dans le système d’exploitation.
Les auteurs de logiciels malveillants utilisent des rootkits pour masquer les logiciels malveillants sur votre appareil, ce qui permet aux logiciels malveillants de persister aussi longtemps que possible.
Un rootkit peut potentiellement rester en place pendant des années s’il n’est pas détecté.
Pendant ce temps, il volera des informations et des ressources ou permettra de joindre un botnet.

C’est à dire qu’en utilisant les applications classiques pour lister les fichiers ou processus comme le gestionnaire de tâches de Windows, vous ne verrez pas ce dernier.
En fait, c’est un peu plus complexe que cela pour bien comprendre les possibilités qu’offre un rootkit sur Windows, il faut comprendre le fonctionnement général.

Il faut voir le rootkit comme une fonctionnalité et pas la fonction du logiciel malveillant.
En effet un rootkit peut-être un au final, Adware, un Trojan.Clicker ou encore un spambot.
En général, il permet aussi le contrôle de l’ordinateur infecté pour le faire joindre un botnet.

Pour plus d’informations sur le type de menaces informatiques, voici une liste des type de logiciels malveillants sur la page : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Le fonctionnement des rootkits dans Windows

Un rootkit est en réalité un logiciel malveillant capable de détourner les appels systèmes (API) de Windows.
Tous les applications et processus de Windows utilisent les API et appels systèmes pour faciliter la programmation des applications.
En effet, lorsqu’un programme a besoin d’effectuer une action liée au système comme lister les processus, accéder à des fichiers, utiliser le réseau : Ils utilisent des fonctions natives de Windows.
Cela évite aux concepteurs de logiciels de devoir réécrire toutes ces routines générales et ainsi gagner du temps.

Ainsi, lorsque le gestionnaire de tâches demande à Windows de lister les processus, ce dernier effectue les appels systèmes pour obtenir la liste des processus de Windows.
Le rootkit détourne cet appel afin de le faire passer par son propre code cela afin de retourner la liste des processus en se retirant.
De ce fait, pour pouvoir détecter un rootkit, il faut utiliser des applications spéciales comme les scanner rootkit qui n’utilisent pas directement les appels systèmes ou de manière différentes.
On parle alors de crochet ou hook en anglais pour désigner ces aptitudes de détournement.
Les outils tel que HijackThis ou FRST peuvent donc ne pas le voir.

Notez que les antivirus fonctionnent de cette manière.
Cela permet par exemple à la protection en temps réel d’analyser un fichier avant son ouverture.

La page suivante, un peu ancienne, explique le fonctionnement technique générale : Le danger et fonctionnement des rootkits

Les rootkits de Windows ne sont pas qu’invisibles

La définition donnée au départ n’est pas tout à fait exacte et on désigne plutôt en rootkit, les logiciels malveillants capables de détourner les appels systèmes.
Si certains rootkits ont utilisé ce fonctionnement pour se rendre invisible, d’autres ont détourné les appels systèmes liés aux systèmes de fichiers.
Dans quel but ? dissimuler le fichier ou rendre la suppression du fichier plus difficile.

Lorsque vous tentez avec l’explorateur de fichiers ou une application de supprimer le fichier de rootkit, là aussi un appel système est effectué.
Le rootkit détourne ce dernier afin de refuser la suppression du fichier.
Cela complique alors la désinfection et suppression de rootkit.
Parfois, c’était tellement compliqué, qu’il fallait passer par un Live CD pour supprimer le rootkit.

La vidéo suivante montre comment un rootkit parvient à cacher le fichier dans le dossier démarrage :

Les types de rootkit dans Windows

Sur Windows, il existe plusieurs types de rootkits.
Voici quelques exemples :

• rootkit userland : ce dernier fonctionne au niveau de l’utilisateur et se lance au démarrage de Windows comme les autres malwares. Par exemple par une clé Run ou un raccourci dans les startup. Le rootkit détourne les appels systèmes lors du lancement d’une application de l’utilisateur. La limite étant que les applications qui tournent au niveau du kernel ne sont pas affectées par ce dernier.
• rootkit kernel-mode ou Ring-0 : il fonctionne dans un niveau plus bas que les rootkit userland. Pour fonctionner, il faut un pilote ou driver (fichier .sys). Ce dernier se charge à travers un service Windows pour lancer ce dernier. Ce sont les rootkits les plus coriaces et difficile à détecter et supprimer.
• Les bootkits : Enfin les bootkits sont des rootkits qui modifient le démarrage de Windows (dans le MBR) d’où le nom boot et rootkit. Le but est se charger avant le système d’exploitation et ainsi prendre la main très tôt. Cela leur confère un avantage, car ils sont actifs avant l’antivirus.

Les rootkits kernel-mode sont les plus complexes à développer et peuvent dans certains cas générer des écrans bleus BSOD.

Historique des rootkits visant Windows

Voici la genèse des rootkits sur Windows ce qui va permettre de voir les évolutions techniques.
Il y a bien entendu eu beaucoup de rootkits donc nous évoquerons les plus importants.
Une partie de ces rootkits sont évoqués sur la page des botnets étant donnés qu’ils ont permis de constituer des botnet de plusieurs milliers ou millions de machines : Les botnets : réseau de machines infectées

Mais certains Trojan Banker ont utilisé des fonctions de rootkit, comme SpyEye – Trojan.Pincav ou Trojan.Carberp : Stealer et rootkit.
Une liste en vrac de quelques rootkits :

• Alureon (Trojan.Clicker)
• Cutwail (SpamBot)
• Detrahere aka Zacinlo – lié à des PUPs et adwares.
• Rustock (SpamBot)
• Sinowal (Trojan Banker) – Le premier Bootkit que j’ai croisé =)
• Sirefef
• Necurs qui sert depuis 2015 à des campagnes de mails malveillants

~ 2005 – MagicControl

Magic.Control était un adware qui sévissait en France autour de 2005.
Le but était de charger des popups de publicités.
Il s’agit d’un rootkit userland qui se composait de fichiers .exe et .dat dans le dossier %APPDATA%

A l’époque l’utilitaire HijackThis et le gestionnaire de tâches n’étaient pas capables de lister les processus de ce rootkit.
Les antivirus ne détectaient pas non plus le malware et on pouvait utiliser le scanner anti-rootkit de F-Secure pour voir les fichiers.
Par la suite, l’utilitaire navilog1 fut développé pour détecter et supprimer cette infection de manière plus automatisée.

Quelques cas sur le forum mais il y a en plein d’autres.

• Magic.Control : Rootkit
• malware Magic control agent pub intempestive
• Magic.Control : epaas-key et fenêtre intempestives porno

Le dernier sujet est assez intéressant, car un rapport HijackThis est présent avec le scanner anti-rootkit de F-Secure.
On voit clairement qu’HijackThis ne montre pas le processus de Magic.Control détecté par F-Secure.

La page suivante donne toutes les détails de la diffusion à la suppression : Supprimer Magic.Control / egdaccess / Adaware.NaviPromo

2006 : Rustock / PE386

Le nom de P386 provient du nom du premier service Windows utilisait par ce rootkit kernel-mode : pe386.sys.
Par la suite des ADS ont été utilisés comme pilote.
Rustock est un malware de type Spammer (spambot) qui a pu infecter des milliers de machines pour s’en émetteur de SPAM.
Une page sur le forum est consacré à ce dernier : Rootkit Pe386 / Rustock

Une opération de démantèlement de ce botnet en mars 2011 où celui a cela, le volume de spam a chuté de 800 000 mails par jour.

2007 : Storm aka Peacomm / Nuwar / Zhelatin/Storm worm

Storm est un malware qui a sévit pendant plusieurs années et qui n’a pas toujours été sous la forme d’un rootkit.
C’est surtout à ses débuts que des méthodes de rootkit ont été utilisées.
Le nom du malware vient du fait que la première campagne de mail malveillant pour se diffuser à tirer partie de la tempête de Janvier 2017.

La page de la propagation de Storm du forum : Zhelatin/Storm/Waledac Worm
Quelques informations techniques : Win32.Packed.Tibs / Win32.Email-Worm.Zhelatin

Notamment cette partie nous apprends qu’il s’agit d’un rootkit kernel-mode puisqu’un driver et son service Windows étaient présents :

C:\WINDOWS\system32\windev-xxxy-xxy.sys - où x sont des chiffres et y des lettres.
ex :
C:\WINDOWS\system32\windev-peers.ini
C:\WINDOWS\system32\windev-784b-489a.sys
C:\WINDOWS\system32\windev-peers.ini
Nom : Win32.Packed.Tibs.R / Win32.Email-Worm.Zhelatin.CX

Par la suite d’autres variantes de Storm on vu le jour qui n’ont pas utilisés de fonctionnalités de rootkit.

2008/2009 : Trojan.Win32.Alureon/Trojan.TDSS

Par la suite, un autre rootkit a aussi tapé très fort : Trojan.TDSS ou Trojan.Win32.Alureon.
Il s’agit d’un malware qui existait avant mais qui à partir de ces dates à commencer à utiliser des fonctions de rootkit.

Le nom TDSS provient du fait que la première version utilisait un driver : C:WINDOWS\System32\\drivers\tdssserv.sys
Il s’agit d’un Trojan.Clicker, c’est à dire qu’il utilisait l’ordinateur pour charger des pubs et simuler des clics.
Cela permettait aux auteurs de gagner de l’argent à travers ces pubs (Click Fraud).
Des redirections lors des recherches Google avaient aussi lieux vers des publicités, de fausses pages d’alertes de virus faisant la promotion de rogues.

Par la suite, les pilotes on pris des noms aléatoires.
En effet plusieurs versions ce sont succédées TDSS-3, TDSS-4.
Ci-dessous une vidéo avec l’utilitaire TDSSKiller qui détecte TDSS.

La version 4 est un bootkit, la page suivante présente ce dernier : Rootkit.TDSS TDL 4 (Trojan.Alureon).

Une opération en 2011 a permis l’arrestation de certains acteurs de ce malware pour affaiblir ce dernier jusqu’à sa disparition.

2011 : ZeroAccess / Sirefef

Ce dernier a pris la relève de TDSS et comme son prédécesseur un Trojan.Clicker.
Le nom provient du fait que ZeroAccess empêchait totalement l’accès aux fichiers qui le compose.
Sa désinfection était donc assez difficile.
La page suivante donne un aperçu de ce malware : ZeroAccess / Sirefef.B / Rootkit.Win32.ZAccess / MAX++
Initialement, des drivers ont été utilisés puis par la suite des fichiers.

Une opération de démantèlement partielle du botnet ZeroAccess a eu lieu fin 2013 mais tous les serveurs utilisés n’ont pas été saisies.
Le botnet a donc pu survivre.

Après 2011

Par la suite, les rootkits ont été moins utilisés du fait des contre mesures qui ont été ajoutés par les antivirus et Windows.
Des PUPs et adwares ont toutefois pu utiliser des fonctions de rootkit.
Notamment :

• Pilotes « bsdriver.sys » & « cherimoya.sys » : abengine
• NetUtils

Comment détecter et supprimer les rootkits : Les anti-rootkits

Initialement, il fallait utiliser des outils annexes pour pouvoir détecter ce type de menaces : les anti-rootkits.
Ce sont des outils spécifiques prévus pour rechercher et détecter les rootkits.
Enfin certains peuvent aussi les supprimer.

Les anti-rootkit pour rechercher un rootkit

Par exemple, Kaspersky a developpé un outil gratuit du nom de TDSSKiller capable de détecter les rootkits et les bootkits.
Par la suite, la plupart des antivirus intègre un scan anti-rootkit.

Gmer était aussi un utilitaire gratuit très populaire mais son développement a cessé.
Une partie de l’application a été intégrée dans Avast!.

Très souvent les fonctions de recherche de rootkit ne sont pas activées par défaut.
Par exemple, chez MBAM, il faut aller dans les options pour activer la recherche de rootkit.
Cela s’explique par le fait que ces fonctions sont très instables et provoquent très souvent des BSOD.

Supprimer les rootkits de Windows

Vous pouvez suivre cet article dédié qui vous guide pour désinfecter un PC des rootkits.

Comment se protéger des rootkits ?

Il n’y a pas vraiment de protection dédiée au rootkit.
En effet, ces derniers s’installent comme les autres logiciels malveillants.
Il faut donc suivre les règles de sécurité élémentaires et sécuriser son PC des malwares.
Pour cela, suivez notre guide complet.

Éventuellement, utiliser un IDS pour détecter l’installation du pilote et le bloquer.

Windows 10 et les protections contre les rootkits

De 2007 à 2011, les rootkits sont devenus des menaces très importantes.
Mais des protections dans Windows 10 ont vu le jour afin d’en limiter la portée.

L’UEFI et la mort des rootkits

L’arrivée de la norme UEFI a aussi beaucoup aider. En effet, celle-ci introduit aussi Trusted Platform Module (TMP) qui assure l’intégrité du boot et prévient toute forme de compromission. .

Cette nouvelle norme a plusieurs conséquences :

• Les bookits MBR ne fonctionnent plus dessus puisque le démarrage du PC est complètement modifiée. Il faut re-écrire ces derniers pour attaquer l’UEFI.
• L’ajout du Secure Boot qui vérifie et interdit de démarrer l’ordinateur, si le code du démarrage n’est pas signé. Ainsi, un code inconnu ne peut s’exécuter au démarrage du PC.

Comment Windows 10 vous protège des rootkits

Du côté de Windows 10, beaucoup d’élément ont été ajoutés afin de l’implantation d’un rookit.
Voici quelques fonctionnalités.

• L’interdiction ou plus de difficultés pour installer et charger des pilotes non signés. Cette mesure est apparue avec Windows 8.1. Un pilote non signé et donc de source inconnu ne peut être installé dans Windows 8 et 10.
• Patchguard protège le noyau de Windows et rend les hook plus difficiles. Plus d’informations sur la page : Rootkit et PatchGuard sur Windows 64 Bits.
• ELAM (Early Launch AM Software) grâce à l’UEFI charge l’antivirus avant les pilotes tiers. Ainsi, l’antivirus est actif avant le rootkit.
• Des fonctions d’isolation du noyau de Windows qui rend les hook plus difficiles à réaliser.

Enfin pour plus de détails sur les protections du démarrage de Windows 10 grâce à l’UEFI, vous pouvez lire cet article :

Ainsi, le secure boot protège en grande partie de la compromission du démarrage du PC et charger du code malveillant est devenu plus complexe.
Toutefois, le premier rootkit UEFI utilisait dans des campagnes de compromissions a été découvert par ESET fin septembre 2018.
Plus d’informations : Lojax : le premier rootkit UEFI.

Au final, il y a une grosse chute des menaces informatiques de type rootkits.

Conclusion et liens autour des malwares

En conclusion, pour les utilisateurs Windows pas de quoi psychoter.
En effet, l’implantation de rootkit est devenu beaucoup plus complexe avec l’UEFI et les protections dans Windows 10.
Il n’y a pas lieu de faire des recherches de rootkits spécifiques, utiliser des anti-rootkits comme on peut parfois le voir.

Quelques autres liens autour des rootkits :

• Le danger et fonctionnement des rootkits
• Supprimer les rootkits sur Windows
• Comment sécuriser son PC des virus : le dossier