Rootkit TDL3 adalah salah satu rootkit paling canggih yang pernah ada di alam liar. Rootkit stabil dan dapat menginfeksi sistem operasi Windows 32 bit; meskipun hak administrator diperlukan untuk menginstal infeksi dalam sistem.
Versi x64 Windows dianggap jauh lebih aman daripada versi 32 bit masing-masing karena beberapa fitur keamanan canggih yang dimaksudkan untuk membuatnya lebih sulit masuk ke mode kernel dan mengaitkan kernel Windows.
Windows Vista 64 bit dan Windows 7 64 tidak mengizinkan setiap driver masuk ke wilayah memori kernel karena pemeriksaan tanda tangan digital yang sangat ketat. Jika driver belum ditandatangani secara digital, Windows tidak akan mengizinkannya dimuat. Teknik pertama ini memungkinkan Windows untuk memblokir setiap rootkit modus kernel agar tidak dimuat, karena malware biasanya tidak ditandatangani - setidaknya, seharusnya tidak.
Teknik kedua yang digunakan oleh Microsoft Windows untuk mencegah driver mode kernel dari mengubah perilaku kernel Windows adalah Perlindungan Kernel Patch yang terkenal, juga dikenal sebagai PatchGuard. Rutinitas keamanan ini memblokir setiap driver mode kernel dari mengubah area sensitif dari kernel Windows - mis. SSDT, IDT, kode kernel.
Kedua teknik ini dikombinasikan bersama memungkinkan versi x64 dari Microsoft Windows menjadi jauh lebih terlindungi dari rootkit kernel mode.
Upaya pertama untuk memecahkan keamanan Windows ini telah dijalankan Bootkit Whistler, bootkit kerangka kerja yang dijual di bawah tanah dan mampu menginfeksi versi Microsoft Windows x86 dan x64.
Tetapi rilis TDL3 ini dapat dianggap sebagai infeksi rootkit root mode kernel x64 yang pertama di alam liar.
Pipet itu sedang dijatuhkan oleh crack biasa dan situs-situs porno, tetapi kita segera berharap untuk melihatnya jatuh dengan mengeksploitasi kit juga, seperti yang terjadi pada infeksi TDL3 saat ini.
Baca lebih lanjut di Prevx.
