TDL3 rootkit az egyik legfejlettebb rootkit valaha látott a vadonban. A rootkit stabil volt és megfertőzheti a 32 bites Windows operációs rendszert; bár rendszergazdai jogok szükségesek a fertőzés telepítéséhez a rendszerben.
A x64-es verziók sokkal biztonságosabbnak tekinthetők, mint a megfelelő 32 bites verziók, mivel néhány olyan fejlett biztonsági funkcióval rendelkeznek, amelyek megnehezítik a kernel módba való bejutást és a Windows kernelének összekapcsolását.
A Windows Vista 64 bites és a Windows 7 64 nem teszi lehetővé, hogy minden illesztőprogram bejusson a rendszermag memóriájába a nagyon szigorú digitális aláírás ellenőrzés miatt. Ha a járművezetőt nem írta alá digitálisan, a Windows nem engedélyezi a betöltést. Ez az első technika lehetővé tette a Windows számára, hogy blokkolja minden kernel módú rootkit-t a betöltésből, mert a malwares általában nem írják alá - legalábbis nem kellene.
A Microsoft Windows által használt módszer, amely megakadályozza, hogy a rendszermag-illesztőprogramok megváltoztassák a Windows rendszermag-viselkedését, a hírhedt kernel-javítás-védelem, más néven PatchGuard. Ez a biztonsági rutin blokkolja minden rendszermag-illesztőprogramot a Windows rendszermag érzékeny területeinek megváltoztatásával - pl. SSDT, IDT, rendszermag-kód.
Ez a két módszer együttesen lehetővé tette a Microsoft Windows x64-es verzióinak jobb védelmét a rendszermag-rootkitek ellen.
Az első próbálkozások a Windows biztonsági védelmének megszüntetésére irányult Whistler bootkit, a keretrendszerben használt csomagkészlet, amely a Microsoft Windows x86 és x64 verzióit képes megfertőzni.
De ez a TDL3 kiadás tekinthető az első x64 kompatibilis kernel módú rootkit fertőzésnek a vadonban.
A csepegtető leesik a szokásos crack és pornó weboldalakon, de hamarosan arra számítunk, hogy a kizsákmányoló készletek is lecsökkentik, ahogyan a jelenlegi TDL3 fertőzésekkel történt.
További információk a Prevx-ról.
