Rootkit TDL3 es uno de los rootkits más avanzados que se han visto en la naturaleza. El rootkit era estable y podía infectar el sistema operativo Windows de 32 bits; aunque se necesitaron derechos de administrador para instalar la infección en el sistema.

TDL3 ahora se ha actualizado y esta vez esta es una actualización importante; ¡El rootkit ahora puede infectar versiones de 64 bits del sistema operativo Microsoft Windows!

Las versiones x64 de Windows se consideran mucho más seguras que sus respectivas versiones de 32 bits debido a algunas características de seguridad avanzadas que pretenden dificultar el acceso al modo kernel y la conexión del kernel de Windows.

Windows Vista de 64 bits y Windows 7 64 no permiten que todos los controladores ingresen a la región de memoria del kernel debido a una comprobación de firma digital muy estricta. Si el controlador no se ha firmado digitalmente, Windows no permitirá que se cargue. Esta primera técnica permitió que Windows bloquee la carga de todos los rootkits en modo kernel, porque los malwares no suelen estar firmados, al menos, no deberían estar.

La segunda técnica utilizada por Microsoft Windows para evitar que los controladores del modo kernel alteren el comportamiento del kernel de Windows es la infame Protección de parches del kernel, también conocida como PatchGuard. Esta rutina de seguridad impide que todos los controladores de modo kernel alteren áreas sensibles del kernel de Windows, por ejemplo, SSDT, IDT, código del kernel.

Estas dos técnicas combinadas permitieron que las versiones x64 de Microsoft Windows estuvieran mucho mejor protegidas contra los rootkits en modo kernel.

Los primeros intentos de romper esta seguridad de Windows habían sido ejecutados por Kit de arranque de Whistler, un framework bootkit vendido bajo tierra y capaz de infectar las versiones x86 y x64 de Microsoft Windows.

Pero esta versión de TDL3 se puede considerar como la primera infección de rootkit en modo kernel compatible con x64 en la naturaleza.

El dropper está siendo abandonado por los sitios web habituales de crack y pornografía, pero pronto esperamos verlo también caído por los kits de exploits, como sucedió con las infecciones actuales de TDL3.

Lea más en Prevx.

Los Mejores Consejos:
Comentarios: