TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!
TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

Vidéo: TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

Vidéo: TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!
Vidéo: [Tuto] Comment changer le moteur de recherche sur Edge (Internet Explorer) ? - YouTube 2024, Novembre
Anonim

TDL3 rootkit est l'un des rootkit les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter le système d'exploitation Windows 32 bits. bien que des droits d’administrateur soient nécessaires pour installer l’infection dans le système.

TDL3 a été mis à jour et cette fois, il s’agit d’une mise à jour majeure; le rootkit est maintenant capable d'infecter les versions 64 bits du système d'exploitation Microsoft Windows!
TDL3 a été mis à jour et cette fois, il s’agit d’une mise à jour majeure; le rootkit est maintenant capable d'infecter les versions 64 bits du système d'exploitation Microsoft Windows!

Les versions x64 de Windows sont considérées beaucoup plus sécurisées que leurs versions 32 bits respectives en raison de certaines fonctionnalités de sécurité avancées qui rendent plus difficile la connexion au mode noyau et l’accroché au noyau Windows.

Windows Vista 64 bits et Windows 7 64 n'autorisent pas tous les pilotes à entrer dans la région de la mémoire du noyau en raison d'une vérification très stricte des signatures numériques. Si le pilote n’a pas été signé numériquement, Windows ne l’autorisera pas à être chargé. Cette première technique a permis à Windows de bloquer le chargement de tous les rootkits en mode noyau, car les malwares ne sont généralement pas signés - du moins, ils ne devraient pas l'être.

La deuxième technique utilisée par Microsoft Windows pour empêcher les pilotes en mode noyau de modifier le comportement du noyau Windows est la tristement célèbre protection du noyau, également appelée PatchGuard. Cette routine de sécurité empêche chaque pilote en mode noyau de modifier les zones sensibles du noyau Windows - par exemple. SSDT, IDT, code du noyau.

La combinaison de ces deux techniques a permis aux versions x64 de Microsoft Windows d’être bien mieux protégées contre les rootkits en mode noyau.

Les premières tentatives de briser cette sécurité Windows avaient été lancées par Trousse de démarrage Whistler, un framework de démarrage vendu dans le métro et capable d’infecter les versions x86 et x64 de Microsoft Windows.

Mais cette version TDL3 peut être considérée comme la première infection à rootkit en mode noyau compatible x64 à l'état sauvage.

Le compte-gouttes est abandonné par les sites Web habituels du crack et du porno, mais nous nous attendons bientôt à le voir également abandonné par les kits d’exploitation, comme c’est arrivé aux infections à TDL3.

Lire la suite sur Prevx.

Conseillé: