Alureon
Le coffre Allure a été identifié pour la première fois vers 2007. Les ordinateurs personnels sont généralement infectés lorsque les utilisateurs téléchargent et installent manuellement un logiciel de Troie. Alureon est connu pour avoir été groupé avec un logiciel de sécurité malveillant, Security Essentials 2010. Lorsque le dropper est exécuté, il détourne d’abord le service de spooler d’impression (spoolsv.exe) pour mettre à jour l’enregistrement de démarrage principal et exécuter une routine de démarrage modifiée. Ensuite, il infecte les pilotes système de bas niveau tels que ceux responsables des opérations PATA (atapi.sys) pour mettre en œuvre son rootkit.
Une fois installé, Alureon manipule le Registre Windows pour bloquer l’accès au Gestionnaire des tâches Windows, à Windows Update et au bureau. Il tente également de désactiver les logiciels anti-virus. Alureon est également connu pour rediriger les moteurs de recherche afin de commettre des fraudes au clic. Google a pris des mesures pour atténuer ce problème pour ses utilisateurs en analysant les activités malveillantes et en avertissant les utilisateurs en cas de détection positive.
Le logiciel malveillant a attiré une attention considérable du public lorsqu’un bogue logiciel dans son code a provoqué le plantage de certains systèmes Windows 32 bits lors de l’installation de la mise à jour de sécurité MS10-015. Le logiciel malveillant utilisait une adresse mémoire codée en dur dans le noyau qui a changé après l’installation du correctif. Microsoft a par la suite modifié le correctif pour empêcher l’installation si une infection Alureon est présente, Le ou les auteurs du malware ont également corrigé le bug dans le code.
En novembre 2010, la presse a rapporté que le rootkit avait évolué au point de pouvoir contourner l’exigence de signature obligatoire des pilotes en mode noyau des éditions 64 bits de Windows 7. Pour ce faire, il a subverti l’enregistrement de démarrage principal, ce qui l’a rendu particulièrement résistant sur tous les systèmes à la détection et à la suppression par les logiciels antivirus.