TDL3, esimene Windows x64-ga ühilduv kerneli režiim rootkit-nakkus looduses, on siin!

TDL3, esimene Windows x64-ga ühilduv kerneli režiim rootkit-nakkus looduses, on siin!
TDL3, esimene Windows x64-ga ühilduv kerneli režiim rootkit-nakkus looduses, on siin!

Video: TDL3, esimene Windows x64-ga ühilduv kerneli režiim rootkit-nakkus looduses, on siin!

Video: TDL3, esimene Windows x64-ga ühilduv kerneli režiim rootkit-nakkus looduses, on siin!
Video: Lagoon 46, Sailing France to Croatia - YouTube 2024, Märts
Anonim

TDL3 rootkit on üks kõige arenenum rokkit, mida kunagi looduses näinud. Rootkit oli stabiilne ja võis nakatada 32-bitine Windowsi operatsioonisüsteem; kuigi nakkuse installimiseks süsteemis oli vaja administraatoriõigusi.

TDL3 on nüüd värskendatud ja seekord on see suur uuendus; rootkit on nüüd võimeline nakatama Microsoft Windowsi operatsioonisüsteemi 64-bitiste versioonidega!
TDL3 on nüüd värskendatud ja seekord on see suur uuendus; rootkit on nüüd võimeline nakatama Microsoft Windowsi operatsioonisüsteemi 64-bitiste versioonidega!

Windowsi x64-versioone peetakse palju turvalisemaks kui nende 32-bitiste versioonide tõttu mõned täiustatud turbefunktsioonid, mille eesmärk on kerneli režiimis sisenemine ja Windowsi kerneli haakimine.

Windows Vista 64-bitine ja Windows 7 64-ga ei luba kõiki draivereid siseneda kerneli mälu piiresse väga range digitaalallkirja kontrollimise tõttu. Kui draiverit ei ole digitaalselt allkirjastatud, ei luba Windows seda laadida. See esimene meetod lubas Windowsil blokeerida iga kerneli režiimi rootkit laadimist, sest malwares ei ole tavaliselt allkirjastatud - vähemalt need ei tohiks olla.

Teine meetod, mida Microsoft Windows kasutab kerneli režiimi draiverite vältimiseks Windowsi kerneli käitumise muutmiseks, on kurikuulus Kernel Patch Protection, tuntud ka kui PatchGuard. See turbemeetod blokeerib iga tuuma režiimijuhi Windowsi tuuma tundlike alade muutmise eest - nt. SSDT, IDT, kerneli kood.

Need kaks tehnikat kombineerituna võimaldasid Microsoft Windowsi x64-versioonidel palju paremini kaitsta kerneli režiimi rootkitte eest.

Esimesed katsed selle Windowsi turvalisuse purustamiseks käidlesid Whistler bootkit, mis on maa all müüdud ja võimeline nakatama nii Microsoft Windowsi x86- kui x64-versiooni.

Kuid seda TDL3 versiooni võib lugeda esimeseks x64-ga ühilduvaks kerneli režiimi rootkit-nakkuseks looduses.

Tühjendaja langeb tavapäraste crack ja porn veebisaitide kaudu, kuid peatselt eeldame, et see kahanes ära kasutades komplektid, nagu juhtus praeguste TDL3-infektsioonidega.

Loe edasi Prevxist.

Soovitan: