TDL3 rootkit è uno dei rootkit più avanzati mai visti in natura. Il rootkit era stabile e poteva infettare il sistema operativo Windows a 32 bit; sebbene i diritti di amministratore fossero necessari per installare l'infezione nel sistema.
Le versioni x64 di Windows sono considerate molto più sicure delle loro rispettive versioni a 32 bit a causa di alcune funzionalità di sicurezza avanzate che hanno lo scopo di rendere più difficile l'accesso alla modalità kernel e l'aggancio del kernel di Windows.
Windows Vista 64 bit e Windows 7 64 non consentono a tutti i driver di accedere all'intervallo di memoria del kernel a causa di un controllo delle firme digitali molto rigido. Se il driver non è stato firmato digitalmente, Windows non consentirà il caricamento. Questa prima tecnica consentiva a Windows di bloccare ogni rootkit in modalità kernel perché veniva caricato, perché i malware non sono in genere firmati, almeno non dovrebbero esserlo.
La seconda tecnica utilizzata da Microsoft Windows per impedire ai driver in modalità kernel di alterare il comportamento del kernel di Windows è l'infame Kernel Patch Protection, nota anche come PatchGuard. Questa routine di sicurezza blocca tutti i driver in modalità kernel dalla modifica delle aree sensibili del kernel di Windows, ad es. SSDT, IDT, codice del kernel.
Queste due tecniche combinate insieme hanno permesso alle versioni x64 di Microsoft Windows di essere molto meglio protette dai rootkit in modalità kernel.
I primi tentativi di rompere questa sicurezza di Windows erano stati gestiti da Whistler Bootkit, un bootkit framework venduto nel sottosuolo e in grado di infettare entrambe le versioni x86 e x64 di Microsoft Windows.
Ma questa versione TDL3 può essere considerata come la prima infezione del rootkit in modalità kernel x64 compatibile in natura.
Il contagocce viene abbandonato dai soliti siti Web di crack e pornografia, ma ci aspettiamo presto di vederlo sganciare anche dai kit di exploit, come è successo alle attuali infezioni da TDL3.
Leggi di più su Prevx.
