TDL3 rootkit on yksi edistyneimmistä rootkit koskaan nähty villi. Rootkitkit oli vakaata ja saattaisi tarttua 32-bittiseen Windows-käyttöjärjestelmään; vaikka järjestelmänvalvojan oikeudet olivat tarpeen infektion asentamiseksi järjestelmään.
Windowsin x64-versioita pidetään paljon turvallisempina kuin niiden 32-bittiset versiot joidenkin kehittyneiden tietoturvaominaisuuksien vuoksi, joiden tarkoituksena on vaikeuttaa järjestelmän ydinmäärää ja kuroa Windowsin ydintä.
Windows Vista 64-bittinen ja Windows 7 64 eivät salli kullekin kuljettajalle pääsyn ytimen muistialueeseen erittäin tiukan digitaalisen allekirjoituksen tarkistuksen takia. Jos kuljettajaa ei ole allekirjoitettu digitaalisesti, Windows ei salli sen lataamista. Tämä ensimmäinen tekniikka mahdollisti Windowsin estävän jokaisen ytimen tilan rootkitin lataamisen, koska malwares eivät yleensä ole allekirjoitettuja - ainakin ne eivät saisi olla.
Toinen tekniikka, jota Microsoft Windows käyttää ydinmoodin ajureiden estämiseen Windows-ytimen käyttäytymisen estämisestä, on pahamaineinen Kernel Patch Protection, joka tunnetaan myös nimellä PatchGuard. Tämä suojausrutiini estää jokaisen ytimen tilan ohjaimen muokkaamasta Windows-ytimen herkkiä alueita - esim. SSDT, IDT, ytimen koodi.
Nämä kaksi tekniikkaa yhdistivät yhdessä mahdollistivat Microsoft Windowsin x64-versioiden olevan paljon paremmin suojattuja ydinmoodin rootkitteiltä.
Ensimmäiset yritykset Windowsin tietoturvan rikkomisesta olivat olleet hallussa Whistler bootkit, puun runko myydään maan alla ja pystyy tartuttamaan sekä Microsoft Windowsin x86- että x64-versiot.
Tätä TDL3-julkaisua voidaan kuitenkin pitää ensimmäisenä x64-yhteensopivana ytimen toimintatapana rootkit-infektiossa luonnossa.
Tikavedenlasku on pudonnut tavallisilla säröillä ja pornografisilla verkkosivuilla, mutta pian odotamme näkevän sen myös hyödyntämällä hyödyntesarjoja, kuten tapahtui nykyisillä TDL3-infektioilla.
Lue lisää Prevxistä.
