TDL3 rootkitas yra vienas iš pažangiausių rootkitų, kuris kada nors buvo lauke. Rootkit buvo stabili ir gali užkrėsti 32 bitų "Windows" operacinę sistemą; nors administratoriaus teisės buvo reikalingos infekcijai įdiegti sistemoje.
"x64" "Windows" versijos yra daug saugesnės nei jų atitinkamos 32 bitų versijos dėl tam tikrų išplėstinių saugos funkcijų, kurių tikslas yra sunkiau patekti į branduolio režimą ir užsikimšti Windows branduolį.
"Windows Vista 64 bit" ir "Windows 7 64" neleidžia kiekvienam vairuotojui patekti į branduolio atminties regioną dėl labai griežto skaitmeninio parašo tikrinimo. Jei vairuotojas nebuvo pasirašytas skaitmeniniu būdu, "Windows" neleis jį įkelti. Šis pirmasis būdas leido "Windows" užblokuoti bet kokį "rootkit" branduolio režimo įkėlimą, nes malwares paprastai nėra pasirašytas - bent jau jie neturėtų būti.
Antrasis metodas, naudojamas "Microsoft Windows", siekiant išvengti branduolio režimų tvarkyklių keisti "Windows" branduolio elgesį, yra liūdnai veikianti "Kernel Patch Protection", dar vadinama "PatchGuard". Ši saugumo priemonė blokuoja kiekvieną branduolio režimo tvarkyklę, kad pakeistų "Windows" branduolio jautrias zonas - pvz. SSDT, IDT, branduolio kodas.
Šie du metodai kartu leido "Microsoft Windows" x64 versijas būti daug geriau apsaugoti nuo branduolio režimų rootkitų.
Pirmieji bandymai nutraukti šį "Windows" saugumą buvo paleisti Whistler bootkit, pagrindinė bootkit, parduodama po žeme ir galinti užkrėsti tiek "x86", tiek "x64" "Microsoft Windows" versijas.
Tačiau šis TDL3 leidimas gali būti laikomas pirmuoju "x64" suderinama branduolio režimo "rootkit" infekcija laukinėje gamtoje.
Dangtelis nuleidžiamas įprastu krekingo ir pornografijos tinklalapiuose, bet mes netrukus tikimės, kad tai sumažės ir panaudojus rinkinius, kaip ir dabartinėse TDL3 infekcijose.
Skaitykite daugiau "Prevx".
