[Linux-bruxelles] Re: (un antivirus sur Ubuntu?) chkrootkit

[Marc Ledent]

Renaud Dubois a écrit :
>
>
>     Et si on l'installe sur une machine déjà contaminée ? il détecte ?
>     (je ne pense PAS avoir de problèmes, mais on ne sait jamais) 
>
>
> Oui il détecte.
Attention, nuance! Certains rootkits sont très difficilement 
détectables. Ils s'installent en tant que modules et se camouflent en se 
substituant à un module existant (en bidouillant les entrées de la table 
des modules). Une fois installé, il lui est 'aisé' de se camoufler en 
détournant les appels aux accès fichier. Un article sur ce sujet existe 
dans le dernier Linux magazine en anglais (ou un autre, je ne suis pas 
sûr). Une fois installé, il est très difficile de le détecter, et les 
chkrootkits classiques n'y arrivent généralement pas.