Mais où s'arrêteront ils ?
C'est la question qui m'est venue à l'esprit à la lecture du Blog de Mark Russinovich, l'auteur de nombreux utilitaires indispensables.
Imaginez un peu la déconvenue qu'il a eue en essayant la dernière version de l'un de ses programmes nommé RootKit Revealer (qui, comme son nom l'indique, sert à dévoiler la présence de rootkits sur un PC) sur son ordinateur : des fichiers et entrées du registre étaient cachées, indiquant avec une quasi-certitude qu'un rootkit était en pleine action !
Première découverte, ce malware (comment appeleriez vous un programme qui cherche à se cacher de l'utilisateur et qui a été installé sans son consentement ?) détourne des API du système de manière à insérer son propre pilote. Ce pilote permet la furtivité de tous les fichiers, répertoires et clés de registre commençant par $sys$.
D'ailleurs, si vous voulez savoir si ce rootkit est présent sur votre PC, faites une copie d'un fichier, puis renommez le en insérant $sys$ au début du nom. Si il disparait, alors bingo !
Une fois le pilote de furtivité désactivé et les fichiers visibles, une petite étude des signatures de fichiers indique que la compagnie responsable de ce "truc" se nomme First4Internet. Un petit tour sur leur site internet et on découvre que cette compagnie a des contrats avec plusieurs sociétés, dont Sony, pour un logiciel de DRM (Digital Rights Management) pour CDs audios. Et justement, Mark Russinovich possède un de ces CD "protégés" et l'écoute sur son ordinateur...
Pour en rajouter encore une couche, l'exécutable principal de ce rootkit "$sys$DRMServer.exe" reste constamment actif sur la machine et consomme quelques petits % du processeur afin de scanner toutes les 2 secondes et 8 fois de suite tous les exécutables correspondants aux processus actifs !
Evidemment, rien ne mentionne la présence de ce "cadeau" : pas de mention dans l'EULA, pas de programme de désinstallation, ni d'entrée dans ajout/suppression de programmes...
Dernier cadeau empoisonné, l'insertion de "lower filters" et de "upper filters" au niveau du lecteur de CD-Rom, ce qui constitue une difficulté de plus dans le nettoyage et peut rendre le lecteur de CD invisible dans le poste de travail !
Sony, et peut-être d'autres, incluent dans leur CDs des rootkits installés sans l'accord de leur propriétaire à des fins de protections de leur droits ! Si la volonté de protection est compréhensible, les moyens employés tiennent du piratage et pire, sont directement réutilisables comme tels ! Imaginez un virus qui se nomme $sys$virus.exe ???
Lire tout le billet (en anglais) et voir les captures d'écran : Sysinternals
Quelques infos complémentaires sur le site de F-Secure.