Comment puis-je vérifier les rootkits sur mon ordinateur?
Les experts s'accordent généralement pour dire qu'il est difficile d'estimer le nombre d'ordinateurs compromis par des rootkits malveillants, mais leur nombre semble augmenter si la liste croissante de rootkits connus en est une indication. On estime que les infections sont les plus fréquentes aux États-Unis, avec au moins un ordinateur infecté sur quatre, selon au moins une estimation. Malheureusement, il n’est pas facile de détecter un rootkit car l’une de ses fonctions principales est de rester caché. Des progiciels appelés «anti-rootkits» sont disponibles pour analyser les rootkits, mais la prévention est fortement recommandée.
Dans certains cas, il peut y avoir des signes avant-coureurs qu'un rootkit est présent sur un système. Par exemple, un utilisateur peut effectuer un traitement de texte ou une simple navigation sur Internet lorsqu'il constate que l'ordinateur traite des données extrêmement lentes. Lors de la vérification du système, il est possible que l’unité de traitement de l’ordinateur (UC) manque de ressources. Cela peut être dû au fait que la CPU effectue un travail de fond pour un rootkit. Un rootkit mal écrit peut également provoquer le blocage répété d'un ordinateur, bien que ces problèmes puissent également être attribués à d'autres causes.
Pour plus de sécurité, il est préférable de vérifier chaque semaine les rootkits sur votre ordinateur, puis de sauvegarder le système propre pour se protéger contre les problèmes futurs. Certains packages anti-rootkit proposent de supprimer certains types de rootkits, mais il est généralement recommandé que si un rootkit est trouvé, le disque dur soit reformaté et le système reconstruit. Il est très difficile d’être sûr qu’un rootkit est complètement supprimé et, dans certains cas, le supprimer peut laisser des «trous» dans le système, le rendant instable.
Il existe plusieurs types de rootkits et tous les programmes d'analyse ne recherchent pas tous les types de rootkits. Les anti-rootkits «basés sur la signature» recherchent des rootkits connus, ce qui peut être utile si votre système est infecté par un kit connu, mais de nouveaux rootkits sont publiés dans la nature tous les jours. D'autres programmes anti-rootkit recherchent des rootkits dans des fichiers, mais pas dans le registre.
Un logiciel anti-rootkit provenant d'une source non fiable pourrait en fait être conçu pour installer un rootkit plutôt que pour en rechercher un, ce qui rend plus sage de s'en tenir aux programmes publiés par des éditeurs de logiciels renommés spécialisés dans les logiciels de sécurité. AVG Anti-Rootkit , BlackLight de F-Secure , Sophos Anti-Rootkit et Anti-Rootkit de Panda figurent parmi les programmes anti-rootkit les plus populaires.
En avril 2007, PC Magazine ™ a testé et examiné l'efficacité de plusieurs programmes anti-rootkit. Le choix de l'éditeur a été attribué à l'anti-rootkit de Panda , qui aurait pénétré plus profondément dans le système que les autres détecteurs de rootkit examinés à l'époque. Panda Anti-Rootkit a également trouvé tous les rootkits plantés dans le test et, comme de nombreux autres anti-rootkits, il est gratuit. L'utilisation de plusieurs programmes anti-rootkit peut également être prudente.
Un protocole judicieux à suivre consiste à rechercher des rootkits toutes les semaines, puis à cloner le disque dur ou à sauvegarder le système sur une image située sur un lecteur secondaire. Avec cette stratégie, si un rootkit doit être trouvé, vous n’avez pas besoin de le supprimer. Une image de disque récente permet de reformater le disque infecté, puis de restaurer l’image afin de garantir un système propre et stable avec un temps d’indisponibilité réduit.
Pour empêcher le téléchargement de rootkits, évitez d'ouvrir les courriers électroniques provenant de sources inconnues, maintenez votre système d'exploitation à jour avec les derniers correctifs et exécutez des programmes anti-virus et anti-spyware avec les dernières mises à jour. Pour réduire davantage les risques, utilisez un pare-feu et n'autorisez pas les sites Web à installer des logiciels, sauf si vous êtes sûr que le site peut être approuvé.