Rootkit TDL3 é um dos rootkits mais avançados já vistos na natureza. O rootkit era estável e poderia infectar o sistema operacional Windows de 32 bits; embora direitos de administrador fossem necessários para instalar a infecção no sistema.
As versões x64 do Windows são consideradas muito mais seguras do que suas respectivas versões de 32 bits por causa de alguns recursos avançados de segurança que têm o objetivo de dificultar a entrada no modo kernel e a conexão do kernel do Windows.
O Windows Vista de 64 bits e o Windows 7 64 não permitem que todos os drivers entrem na região de memória do kernel devido a uma verificação de assinatura digital muito rigorosa. Se o driver não tiver sido assinado digitalmente, o Windows não permitirá que ele seja carregado. Essa primeira técnica permitiu que o Windows bloqueasse o carregamento de todos os rootkits do modo kernel, porque os malwares normalmente não são assinados - pelo menos, não deveriam ser.
A segunda técnica usada pelo Microsoft Windows para impedir que os drivers do modo kernel alterem o comportamento do kernel do Windows é a infame Proteção de Patches do Kernel, também conhecida como PatchGuard. Esta rotina de segurança impede que cada driver do modo kernel altere áreas sensíveis do kernel do Windows - por exemplo, SSDT, IDT, código do kernel.
Essas duas técnicas combinadas permitiram que as versões x64 do Microsoft Windows fossem muito melhor protegidas contra rootkits no modo kernel.
As primeiras tentativas de quebrar essa segurança do Windows foram executadas por Kit de inicialização Whistler, um framework bootkit vendido no subsolo e capaz de infectar as versões x86 e x64 do Microsoft Windows.
Mas esta versão do TDL3 pode ser considerada como a primeira infecção por rootkit do modo kernel compatível com x64.
O dropper está sendo descartado pelos sites pornográficos e de crack, mas logo esperamos vê-lo derrubado por kits de exploração também, como aconteceu com as atuais infecções por TDL3.
Leia mais em Prevx.
