Rootkit::Navipromo
Par Simon Vart le dimanche 17 juin 2007, 10:30 - Informatique - Lien permanent
Depuis quelques mois, je rencontre de plus en plus fréquemment un virus publicitaire d'un genre un peu particulier : il s'agit d'un rootkit appelé Navipromo.
Le virus n'est pas très difficile à éradiquer, ni à diagnostiquer, mais il est un peu plus retors que la moyenne, car il use d'une technique qui lui permet de se rendre invisible à l'intérieur de Windows. L'antivirus n'est généralement pas capable de le voir. Seul quelques symptômes permettent de soupçonner sa présence.
Ce spyware/rootkit affichera régulièrement des publicités en popup sur votre
écran. C'est le symptôme le plus évident. Ce programme enregistera les urls de
vos navigations internet et les transmettra sur un serveur extérieur. Ceci
permettra au virus d'afficher des publicités en rapport avec vos centres
d'intérêt.
Ensuite, on remarquera une dégradation sérieuse des performances de
l'ordinateur. En consultant les taux d'occupation mémoire, on constatera une
perte importante des ressources. Plus spécifiquement, le total d'occupation
mémoire des processus actifs sera largement inférieur au total réellement
utilisé : une partie de la mémoire est détournée par un processus
invisible.
- Go-astro
- GoRecord
- HotTVPlayer
- Instant Access
- InternetGameBox
- MailSkinner et MessengerSkinner
- SudoPlanet
- Web MediaPlayer
(source de cette liste : Jesses Entraide)
Navipromo utilise une technique de dissimulation qui lui permet de cacher les fichiers et les processus en mémoire. En peu de mots, Navipromo intercepte tous les appels contenant son propre nom (fenêtre d'explorer, liste des processus, contenu de répertoire et de registre...) et les supprime dynamiquement : si une liste contient son nom, le virus supprime la ligne le mentionnant ! De cette façon, ni l'utilisateur, ni l'antivirus, ni la plupart des outils de désinfection analysant les points de démarrage des programmes ne peuvent voir les composants du virus.
Pour supprimer Navipromo, il faudra utiliser un antirootkit, tel que Rootkit Revealer de Sysinternals/Microsoft ou bien BlackLight de F-Secure. Ces programmes permettront d'identifier les fichiers infectés sur l'ordinateur. Pour réveler la présence du rootkit, ces programmes comparent le contenu de la mémoire avec le contenu réel du disque dur : s'il y a une différence entre le contenu "physiquement" présent et celui affiché dans les API Windows, c'est qu'un programme le dissimule.
Une fois les fichiers identifiés, il faut les supprimer. Le plus simple est d'utiliser un Live-CD, tel que Bart-PE, ou Knoppix, pour démarrer l'ordinateur et tranquillement éradiquer le virus en effaçant les fichiers détectés du disque dur.
Une fois redémarré, il ne restera plus qu'à supprimer les clés de registre infectées et désormais visibles (puisque l'exécutable a été supprimé) pour terminer le nettoyage.
Bien entendu, pour éviter la ré-infection, il faudra être très prudent sur les programmes téléchargés et les sites visités.