Les antivirus Windows mis à nus (on le savait déjà..)..

12 05 2010

Dans un rapport technique, la société Matousec (spécialisée dans la sécurité) présente un nouveau genre d’attaque baptisée KHOBE (Kernel Hook Bypassing Engine) qui permettrait à n’importe quel virus de tromper la vigilance de tous les antivirus Windows. Le fonctionnement est assez vicieux car, il exploite les appels faits au kernel que les antivirus surveillent.

En effet, lorsqu’un virus déboule sous votre ordi, il communique avec Windows au travers de ces appels kernel pour réaliser diverses opérations (lecture, écriture…etc. sur le disque ou en mémoire). Les antivirus du marché sont capables de détecter ces appels et de dégainer leur taser de virus dès que ces appels sont louches et/ou dangereux.

La méthode KHOBE utilise 2 processus pour tromper la vigilance de l’antivirus. Le premier processus lance un appel « sain » au kernel, montrant ainsi patte blanche. L’antivirus s’apprête alors à laisser passer cet appel, sauf que le second processus intervient pile poil à ce moment-là et modifie l’appel à la volée, découvrant ainsi son vrai visage diabolique. Sauf qu’il est trop tard, l’antivirus lui a déjà donné un laissez-passer…

Vous l’aurez compris, c’est chaud de chez chaud et avec cette technique, l’antivirus a autant d’effet qu’une passoire qui servirait à vider la piscine d’Eugène Kaspersky.


Matousec a effectué des tests uniquement sous Windows XP SP3 et Vista SP1 mais affirme que ça fonctionnerait de la même manière sous Windows 7. J’ai néanmoins un doute car pour tester si votre Windows est faillible ou pas à ces attaques, Matousec fournit un outil qui est censé simuler ces attaques sur le kernel (BSODhook) et qui n’a pas fonctionné sur mon Windows 7, qu’il soit ou non lancé en Administrateur. Du coup, si c’est ce que je crois, Windows 7 semble relativement sécurisé pour éviter cette catastrophe. J’attends quand même de voir les tests que fera Matousec sur Win7.

Petite liste des antivirus foireux :

Publicités

Actions

Information

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s




%d blogueurs aiment cette page :