avast ! détecte le rootkit Banker, petit frère d`Alureon

Communiqué de Presse
Le 05 Mai 2010
avast ! détecte le rootkit Banker, petit frère d’Alureon
Prague, Ré publique Tchèque - ALWIL Software, éditeur du programme anti-virus avast!,
annonce que sa technologie GMER est reconnue par l'Anti-Malware Labs, organisation
indépendante de tests en sécurité, comme la meilleure solution pour la détection et la
suppression des rootkits. L’occasion pour avast ! de revenir sur ces nouvelles menaces.
Le rootkit Banker, nouvelle menace pour les utilisateurs de Windows XP 32 bits
Un rootkit est un type de malware qui se cache au sein du système d'exploitation d'un
ordinateur. La part des rootkits parmi tous les logiciels malveillants détectés sous Windows
est passée de 0,7 à 5,3% au cours au premier trimestre 2010 d’après les échantillons
soumis par la Communauté IQ d’avast! au Laboratoire Viral. Selon les spécialistes d’avast !,
cette forte hausse est due au nouveau rootkit « Banquier» selon les spécialistes d’avast!. Au
premier trimestre 2010, le Laboratoire viral a reçu environ 250 millions d'échantillons de
logiciels malveillants sous Windows par mois grâce aux membres de la Communauté IQ.
"Le rootkit Banquier fait partie d'un grand nombre de logiciels malveillants et aide les autres
virus à trouver refuge à l'intérieur d'un ordinateur infecté, en plus de surveiller la frappe",
détaille Michal Trs, spécialiste des virus chez avast !. Le Laboratoire viral d’avast ! a
découvert le premier rootkit appelé Banquier le 23 mars 2010 et une deuxième variante du
même auteur le 11 avril 2010.
Pourquoi « Banquier » ? « Chaque jour j’assiste à de nombreuses tentatives de fraude des
services bancaires en ligne. L'une de ces menaces contenait le rootkit Banquier. Ce dernier
n'a été détecté par aucun autre antivirus et je ne pensais pas que celui-ci aurait un si grand
impact» explique l’analyste viral Michal Trs, à l’origine de la découverte du rootkit.
Les logiciels malveillants à l’encontre des banques sont très populaires en Amérique latine
(principalement au Brésil). Les rootkits détectés comme Win32: Banker-GOA [RTK] sont
destinés aux versions espagnoles et portugaises de Microsoft Windows. La progression du
rootkit Banquier est intervenue au moment où le célèbre rootkit Alureon s’est transformé en
logiciel malveillant plus traditionnel. En effet, un peu plus tôt cette année, Alureon s’est fait
connaître pour avoir altéré le cours de mises à jour de sécurité d’ordinateurs infectés,
opérant sous le système d'exploitation Windows XP.
Les rootkits sont déclenchés avant que le système d'exploitation de l'ordinateur soit
complètement démarré, renommant les fichiers du système d'exploitation et rendant le retrait
du malware difficile. Les rootkits sont souvent utilisés pour installer des fichiers cachés,
utilisés par la suite pour intercepter et renvoyer les données privées conservées dans
l'ordinateur vers le créateur de rootkit.
"La technologie sous-jacente est beaucoup plus complexe que dans la moyenne des
logiciels malveillants", raconte Przemyslaw Gmerek. «D'abord, ils se cachent dans le
système d'exploitation, leur permettant de rester longtemps actifs et indétectables. Ceci
augmente les dommages potentiels de façon exponentielle. Puis, il y a souvent un objectif
financier derrière une infection, les rootkits ciblant souvent les services bancaires et les mots
de passe des ordinateurs"
Les personnes utilisant les systèmes d'exploitation 32 bits tel que Windows XP encourent le
plus grand risque. "Nous constatons que la plupart de nos détections de rootkits à partir de
leurs comportements sont réalisées sur des systèmes 32 bits", explique Michal Trs, analyste
viral chez avast !
"Avec un système d'exploitation 64 bits, les utilisateurs sont plus en sécurité car il ne permet
pas aux utilisateurs de télécharger sans certificat, réduisant de manière significative les
risques d'infection par des rootkits" continue Michal Trs. Pour protéger leurs ordinateurs des
rootkits, les utilisateurs doivent s'assurer qu'ils ont à la fois des scans sur demande pour
vérifier les infections sur leurs ordinateurs, ainsi qu’un anti-virus mis à jour en temps réel afin
d’éviter une infection par des rootkits. Cette protection est assurée par GMER, programme
anti-rootkit autonome et composant à part entière de l’antivirus avast !.
La versio n GMER 1.0.15 d’avast remp orte le test comparatif d’Anti Malw are
Labs entre 12 programmes anti-rootkit
Anti-Malware Labs a classé 12 programmes d’anti-virus selon leur capacité à identifier et
éliminer une sélection de rootkits à partir d'un ordinateur fonctionnant sous le système
d’exploitation mis à jour XP Professionnel.
Le laboratoire a testé GMER version 1.0.15, une version autonome de la technologie GMER,
composant standard du logiciel antivirus avast !
"GMER est entièrement intégré et optimisé dans l’antivirus avast!", déclare Przemyslaw
Gmerek, créateur de la technologie GMER. "Notre logiciel détecte les rootkits à partir de leur
comportement, avant même qu’ils puissent se charger réellement, ce qui le rend très efficace
pour traiter des types de rootkits connus et inconnus."
avast! utilise la technologie GMER dans son programme antivirus depuis 2007. "Nous
apprécions tout particulièrement l'importance accordée par GMER à la vérification de tous
les niveaux du système d'exploitation afin d’attraper les rootkits", explique Ondrej Vlcek,
Directeur technique d’ALWIL Software, éditeur de l’anti-virus avast!. "Ce test examine la
capacité du programme à détecter et supprimer les rootkits, et les résultats parlent d'euxmêmes."
Le rapport complet est disponible sur: http://www.anti-malware-test.com/
Rootkits et Communauté IQ* – Rapport d’Avril
Détections de logiciels malveillants
Windows
263,995,872
Détections de rootkits
14,121,984
Part des rootkits parmi les logiciels
malveillants Windows
5.3%
Top 3 des rootkits (pourcentage du total)
Banquier – Win32:Banker-GNG[Rtk]
– Win32:Banker-GOA[Rtk]
78.3%
Qandr – Win32:Qandr[Rtk]
16.81%
Alureon – Win32:Alureon/family[Rtk]
1.3%
*La communauté IQ est le réseau de sentinelles mises en place sur les ordinateurs des utilisateurs
d’avast!.
A propos d’ALWIL Software :
ALWIL Software est le développeur d'avast! - le programme anti virus libre le plus populaire au monde
avec plus de 100 millions d'utilisateurs inscrits. De son siège social situé en République Tchèque,
ALWIL Software a développé la suite logicielle maintes fois récompensée avast!. Les produits sont
disponibles et localisés dans plus de 30 langues. Plus de détails sur la société et sur ses produits sur
http://www.avast.com.
###
avast! est une marque enregistrée en France et d'autres pays et est utilisée sous la licence exclusive
d’ALWIL Software.