Startpagina » Veiligheid » TDL3, de eerste Windows x64 compatibele root-rootkit-infectie in het wild, is hier!

    TDL3, de eerste Windows x64 compatibele root-rootkit-infectie in het wild, is hier!

    TDL3 rootkit is een van de meest geavanceerde rootkits ooit in het wild gezien. De rootkit was stabiel en kon 32-bits Windows-besturingssysteem infecteren; hoewel beheerdersrechten nodig waren om de infectie in het systeem te installeren.

    TDL3 is nu bijgewerkt en dit keer is dit een belangrijke update; de rootkit kan nu 64-bits versies van het Microsoft Windows-besturingssysteem infecteren!

    x64-versies van Windows worden als veel veiliger beschouwd dan hun respectieve 32-bits versies vanwege enkele geavanceerde beveiligingsfuncties die bedoeld zijn om het moeilijker te maken om in kernelmodus te gaan en de Windows-kernel aan te halen.

    Windows Vista 64 bit en Windows 7 64 staan ​​niet toe dat elk stuurprogramma in het kernelgeheugengebied komt vanwege een zeer strikte controle van digitale handtekeningen. Als het stuurprogramma niet digitaal is ondertekend, staat Windows niet toe dat het wordt geladen. Met deze eerste techniek kon Windows elke rootkit van de kernelmodus blokkeren, omdat malware meestal niet werd ondertekend. Tenminste, ze mogen niet.

    De tweede techniek die door Microsoft Windows wordt gebruikt om te voorkomen dat kernelmodusstuurprogramma's het Windows-kernelgedrag wijzigen, is de beruchte Kernel Patch Protection, ook wel PatchGuard genoemd. Deze beveiligingsroutine blokkeert elk kernelmodusstuurprogramma voor het wijzigen van gevoelige gebieden van de Windows-kernel - bijv. SSDT, IDT, kernelcode.

    Door deze twee technieken samen te combineren, konden x64-versies van Microsoft Windows veel beter worden beschermd tegen rootkits in de kernelmodus.

    De eerste pogingen om deze Windows-beveiliging te doorbreken, werden gerund door Whistler-bootkit, een framework-bootkit die in de underground wordt verkocht en in staat is om zowel x86- als x64-versies van Microsoft Windows te infecteren.

    Maar deze TDL3-release kan worden beschouwd als de eerste x64-compatibele root-rootkit-infectie in de wildmodus.

    De druppelaar wordt door gebruikelijke crack- en pornowebsites weggegooid, maar we verwachten al snel dat deze ook door exploitkits zal vallen, zoals is gebeurd met de huidige TDL3-infecties.

    Lees meer op Prevx.

    Werk samen of speel het alleen in epische real-time multiplayer-gevechten in The Ember Conflict nu op iOS
    Combineer met je gepersonaliseerde huisdier in de nieuwe Fantasy RPG AIIA, nu beschikbaar op Android
    Proef het Bloed van de Robot in Straten van Woede 3
    Volgend artikel
    'Tea and the Tub'-video van Supercell toont de enorme nieuwe taak-update van Boom Beach, onthult Lt. Hammerman, de liefde voor bubbels
    Vorig artikel
    Lekkere sushi-gebaseerde puzzelaar Umai! staat vanavond op de lopende band van de App Store