TDL3 rootkit er en av de mest avanserte rotkitene som vi noensinne har sett i naturen. Rotkiten var stabil og kunne infisere 32-biters Windows-operativsystem; selv om administratorrettigheter var nødvendig for å installere infeksjonen i systemet.
x64-versjoner av Windows betraktes som mye sikrere enn deres respektive 32-biters versjoner på grunn av noen avanserte sikkerhetsfunksjoner som er ment å gjøre det vanskeligere å komme inn i kjernemodus og hekte Windows-kjernen.
Windows Vista 64 bit og Windows 7 64 tillater ikke at alle sjåførene kommer inn i kjernehukommelsesområdet på grunn av en svært streng digital signaturkontroll. Hvis driveren ikke er digitalt signert, tillater ikke Windows at den lastes inn. Denne første teknikken tillot at Windows blokkerer hver kjernemodus rootkit fra å bli lastet, fordi malwares ikke vanligvis er signert - i det minste bør de ikke være.
Den andre teknikken som brukes av Microsoft Windows for å hindre at kjernemodedrivere endrer Windows-kjernegangsoppførsel, er den beryktede Kernel Patch Protection, også kjent som PatchGuard. Denne sikkerhetsrutinen blokkerer hver kjernemodusdriver fra å endre følsomme områder av Windows-kjernen - f.eks. SSDT, IDT, kjernekode.
Disse to teknikkene kombinert sammen tillot x64-versjoner av Microsoft Windows å være mye bedre beskyttet mot kjernemodus rootkits.
De første forsøkene på å bryte denne Windows-sikkerheten hadde blitt drevet av Whistler bootkit, en rammeverkstøtte som selges i undergrunnen og kan infisere både x86- og x64-versjoner av Microsoft Windows.
Men denne versjonen av TDL3 kan betraktes som den første x64-kompatible kjernemodus rootkit-infeksjonen i naturen.
Den dropper blir droppet av vanlige sprekk og porno nettsteder, men vi forventer snart å se det falt av utnytte kit også, som skjedde med dagens TDL3 infeksjoner.
Les mer på Prevx.
