Руткит TDL3 является одним из самых современных руткитов, когда-либо виденных в дикой природе. Руткит был стабильным и мог заразить 32-битную операционную систему Windows; хотя для установки заражения в системе необходимы права администратора.
x64 версии Windows считаются гораздо более безопасными, чем их 32-разрядные версии из-за некоторых усовершенствованных функций безопасности, которые призваны затруднить переход в режим ядра и подключение ядра Windows.
Windows Vista 64 бит и Windows 7 64 не позволяют каждому драйверу попасть в область памяти ядра из-за очень строгой проверки цифровой подписи. Если драйвер не был подписан цифровой подписью, Windows не разрешит его загрузку. Этот первый метод позволял Windows блокировать загрузку каждого руткита в режиме ядра, потому что malwares обычно не подписываются - по крайней мере, их не должно быть.
Второй метод, используемый Microsoft Windows для предотвращения изменения драйверов режима ядра от поведения ядра Windows, - это печально известная защита Patch Protection, также известная как PatchGuard. Эта процедура безопасности блокирует, чтобы каждый драйвер режима ядра изменял чувствительные области ядра Windows - например, SSDT, IDT, код ядра.
Эти два метода, объединенных вместе, позволили x64-версиям Microsoft Windows гораздо лучше защищаться от руткитов в режиме ядра.
Первые попытки взлома этой безопасности Windows выполнялись Whistler bootkit, базовый буткит, продаваемый в метро и способный заражать как x86, так и x64 версии Microsoft Windows.
Но этот выпуск TDL3 можно рассматривать как первую в своем роде x64-совместимую рутинную инфекцию в режиме ядра.
Капельницы расставания с обычными крэка и порно-сайты, но вскоре мы ожидаем увидеть падало от эксплойтов тоже, как это случилось с текущими инфекциями TDL3.
Читайте больше на Prevx.
