TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!
TDL3 rootkit est l'un des rootkit les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter le système d'exploitation Windows 32 bits. bien que des droits d'administrateur soient nécessaires pour installer l'infection dans le système.
TDL3 a été mis à jour et cette fois, il s’agit d’une mise à jour majeure; le rootkit est maintenant capable d'infecter les versions 64 bits du système d'exploitation Microsoft Windows!
Les versions x64 de Windows sont considérées beaucoup plus sécurisées que leurs versions 32 bits respectives en raison de certaines fonctionnalités de sécurité avancées qui rendent plus difficile l'accès au mode noyau et le raccordement du noyau Windows..
Windows Vista 64 bits et Windows 7 64 n'autorisent pas tous les pilotes à entrer dans la région de la mémoire du noyau en raison d'une vérification très stricte des signatures numériques. Si le pilote n'a pas été signé numériquement, Windows ne permettra pas son chargement. Cette première technique a permis à Windows de bloquer le chargement de chaque rootkit en mode noyau, car les malwares ne sont généralement pas signés - du moins, ils ne devraient pas l'être..La deuxième technique utilisée par Microsoft Windows pour empêcher les pilotes en mode noyau de modifier le comportement du noyau Windows est la tristement célèbre protection du noyau, également appelée PatchGuard. Cette routine de sécurité empêche chaque pilote en mode noyau de modifier les zones sensibles du noyau Windows - par exemple. SSDT, IDT, code du noyau.
La combinaison de ces deux techniques a permis aux versions x64 de Microsoft Windows d’être beaucoup mieux protégées contre les rootkits en mode noyau..
Les premières tentatives de briser cette sécurité Windows avaient été lancées par Trousse de démarrage de Whistler, un framework de démarrage vendu dans le métro et capable d'infecter les versions x86 et x64 de Microsoft Windows.
Mais cette version TDL3 peut être considérée comme la première infection à rootkit en mode noyau compatible x64 à l'état sauvage.
Le compte-gouttes est abandonné par les sites Web habituels de crack et de pornographie, mais nous nous attendons bientôt à le voir également abandonné par les kits d’exploitation, comme ce fut le cas pour les infections à TDL3 actuelles..
En savoir plus sur Prevx.