Rootkit TDL3 je jedan od najnaprednijih korijena ikad vidljiv u divljini. Rootkit je bio stabilan i može zaraziti 32-bitni operacijski sustav Windows; iako su potrebna administratorska prava za instaliranje infekcije u sustav.
x64 verzije sustava Windows smatraju se mnogo sigurnijima od njihovih dvostrukih verzija zbog nekih naprednih sigurnosnih značajki koje imaju za cilj otežati ulazak u kernel i kvačenje Windows kernela.
Windows Vista 64 bit i Windows 7 64 ne dopuštaju da svaki vozač uđe u područje memorije kernela zbog vrlo stroge provjere digitalnog potpisa. Ako vozač nije digitalno potpisan, Windows neće dopustiti da se učita. Ova prva tehnika dopustila je Windowsu da blokira svaki rootkit kernel modu od učitavanja jer zlonamjerni programi obično nisu potpisani - barem oni ne bi smjeli biti.
Druga tehnika koju koristi Microsoft Windows kako bi spriječila vozače načina kernela da mijenja ponašanje jezgre u sustavu Windows je zloglasna Kernel Patch Protection, također poznata kao PatchGuard. Ova sigurnosna rutina blokira svaki upravljački program za kernel od izmjena osjetljivih područja kernela sustava Windows - npr. SSDT, IDT, kernel kod.
Te dvije tehnike u kombinaciji zajedno omogućile su da x64 verzije sustava Microsoft Windows budu mnogo bolje zaštićene od rootkit-ova u kernel modu.
Prvi pokušaji razbijanja ove sigurnosne zaštite sustava Windows bili su pokrenuti Whistler bootkit, okvirni bootkit koji se prodaje u podzemlju i koji može zaraziti i x86 i x64 verzije sustava Microsoft Windows.
Ali ovaj TDL3 izdanje može se smatrati prvim x64 kompatibilnim kernel modus rootkit infekcije u divljini.
Kapaljka se spušta od uobičajenih pukotina i pornografskih web stranica, ali uskoro očekujemo da je to i odbijeno pomoću eksploatacijskih setova, kao što se dogodilo s aktualnim TDL3 infekcijama.
Pročitajte više na Prevxu.
