TDL3 rootkit е един от най-модерните rootkit, наблюдаван някога в дивата природа. В rootkit е стабилна и може да зарази 32-битова операционна система Windows; въпреки че са необходими администраторски права, за да се инсталира инфекцията в системата.
x64 версиите на Windows се считат за много по-сигурни от съответните им 32-битови версии, поради някои разширени функции за сигурност, които са предназначени да направят по-трудно да се влезе в режим на ядро и да закачи ядрото на Windows.
Windows Vista 64-битов и Windows 7 64 не позволяват на всеки водач да влезе в областта на паметта на ядрото поради много строга проверка на цифровия подпис. Ако драйверът не е цифрово подписан, Windows няма да позволи това да бъде заредено. Тази първа техника позволи на Windows да блокира зареждането на всеки rootkit в ядрото, тъй като злонамерените програми обикновено не са подписани - поне те не трябва да бъдат.
Втората техника, използвана от Microsoft Windows за предпазване на драйверите на ядрото от промяна в поведението на ядрото на Windows, е скандалната защита на Kernel Patch, известна още като PatchGuard. Това рутинно решение за сигурност блокира всеки драйвер за ядрото от промяна на чувствителните зони на ядрото на Windows - напр. SSDT, IDT, код на ядрото.
Тези две комбинирани техники позволиха x64 версиите на Microsoft Windows да бъдат много по-добре защитени срещу rootkits на ядрото.
Първите опити за скъсване на сигурността на Windows бяха извършени Whistler bootkit, рамкова bootkit, продавана в подземната мрежа и способна да зарази двете версии на Microsoft Windows x86 и x64.
Но тази версия на TDL3 може да се счита за първата инфекция на rootkit в ядрото, съвместима с ядрото в дивата природа.
Капкомерът се изпуска от обичайните пукнатини и порно уеб сайтове, но скоро очакваме да видим, че е спаднато и от експлозивните комплекти, както се случи с текущите TDL3 инфекции.
Прочетете повече в Prevx.
