TDL3, la prima infezione rootkit in modalità kernel compatibile con x64 di Windows in natura, è qui!
TDL3 rootkit è uno dei rootkit più avanzati mai visti in natura. Il rootkit era stabile e poteva infettare il sistema operativo Windows a 32 bit; sebbene i diritti di amministratore fossero necessari per installare l'infezione nel sistema.
TDL3 è stato aggiornato e questa volta è un aggiornamento importante; il rootkit è ora in grado di infettare le versioni a 64 bit del sistema operativo Microsoft Windows!
Le versioni x64 di Windows sono considerate molto più sicure delle loro rispettive versioni a 32 bit a causa di alcune funzionalità di sicurezza avanzate che hanno lo scopo di rendere più difficile entrare nella modalità kernel e agganciare il kernel di Windows.
Windows Vista 64 bit e Windows 7 64 non consentono a tutti i driver di accedere all'intervallo di memoria del kernel a causa di un controllo delle firme digitali molto rigido. Se il driver non è stato firmato digitalmente, Windows non consentirà il caricamento. Questa prima tecnica consentiva a Windows di bloccare ogni rootkit in modalità kernel da caricare, perché i malware non sono in genere firmati - almeno, non dovrebbero essere.La seconda tecnica utilizzata da Microsoft Windows per impedire ai driver in modalità kernel di alterare il comportamento del kernel di Windows è l'infame Kernel Patch Protection, noto anche come PatchGuard. Questa routine di sicurezza blocca tutti i driver in modalità kernel dalla modifica delle aree sensibili del kernel di Windows, ad es. SSDT, IDT, codice del kernel.
Queste due tecniche combinate insieme hanno permesso alle versioni x64 di Microsoft Windows di essere molto meglio protette dai rootkit in modalità kernel.
I primi tentativi di rompere questa sicurezza di Windows erano stati gestiti da Whistler Bootkit, un bootkit framework venduto nel sottosuolo e in grado di infettare entrambe le versioni x86 e x64 di Microsoft Windows.
Ma questa versione TDL3 può essere considerata come la prima infezione del rootkit in modalità kernel x64 compatibile in natura.
Il contagocce viene abbandonato dai soliti siti Web di crack e pornografia, ma ci aspettiamo presto di vederlo cadere anche dai kit di exploit, come è successo alle attuali infezioni da TDL3.
Leggi di più su Prevx.