TDL3 rootkit ir viens no visprogresīvākajiem rootkitiem, kas jebkad tika novērots savvaļā. Rota kits bija stabils un var inficēt 32 bitu Windows operētājsistēmu; lai gan infekcijas instalēšanai sistēmā bija nepieciešamas administratora tiesības.
Windows x64 versijas tiek uzskatītas par daudz drošākām par to 32 bitu versijām, jo dažas uzlabotas drošības funkcijas ir paredzētas, lai padarītu grūtāk nokļūt kodola režīmā un piesaistot Windows kodolu.
Windows Vista 64 bitu un Windows 7 64 neļauj katram vadītājam nokļūt kodola atmiņas apgabalā ļoti stingras digitālā paraksta pārbaudes dēļ. Ja draiveris nav parakstīts ciparu formātā, sistēma Windows neatļaus to ielādēt. Šī pirmā metode ļāva Windows bloķēt ikviena kodola režīma rootkit no iekraušanas, jo malwares parasti nav parakstīti - vismaz tie nedrīkst būt.
Otra metode, ko izmanto Microsoft Windows, lai novērstu kodola režīma draiveru mainīšanu Windows kodola uzvedību, ir draņķīgs Kernel Patch Protection, pazīstams arī kā PatchGuard. Šī drošības kārtība bloķē katru kodola režīma draiveri, mainot Windows kodola sensitīvās zonas, piemēram, SSDT, IDT, kodola kods.
Šīs divas metodes kopā ļāva atļaut Microsoft Windows x64 versijām daudz labāk aizsargāt pret kernel režīmu rootkitiem.
Pirmie mēģinājumi izlauzties šo Windows drošību ir bijuši Whistler bootkit, platformas bootkit, kas tiek pārdots pazemē un var inficēt Microsoft Windows x86 un x64 versijas.
Bet šo TDL3 atbrīvošanu var uzskatīt par pirmo x64 saderīgu kernel režīma rootkit infekciju savvaļā.
Pilinātājs tiek nogalināts ar parastajām ielaušanās un pornogrāfijas vietnēm, taču mēs drīz sagaidīsim, ka tā ir samazinājusies, izmantojot arī komplektus, kā tas noticis ar pašreizējām TDL3 infekcijām.
Lasiet vairāk vietnē Prevx.
