TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!
TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

Vidéo: TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!

Vidéo: TDL3, la première infection à racine de rootkit en mode noyau compatible Windows x64, est arrivé!
Vidéo: [Tuto] Comment changer le moteur de recherche sur Edge (Internet Explorer) ? - YouTube 2024, Avril
Anonim

TDL3 rootkit est l'un des rootkit les plus avancés jamais vus dans la nature. Le rootkit était stable et pouvait infecter le système d'exploitation Windows 32 bits. bien que des droits d’administrateur soient nécessaires pour installer l’infection dans le système.

TDL3 a été mis à jour et cette fois, il s’agit d’une mise à jour majeure; le rootkit est maintenant capable d'infecter les versions 64 bits du système d'exploitation Microsoft Windows!
TDL3 a été mis à jour et cette fois, il s’agit d’une mise à jour majeure; le rootkit est maintenant capable d'infecter les versions 64 bits du système d'exploitation Microsoft Windows!

Les versions x64 de Windows sont considérées beaucoup plus sécurisées que leurs versions 32 bits respectives en raison de certaines fonctionnalités de sécurité avancées qui rendent plus difficile la connexion au mode noyau et l’accroché au noyau Windows.

Windows Vista 64 bits et Windows 7 64 n'autorisent pas tous les pilotes à entrer dans la région de la mémoire du noyau en raison d'une vérification très stricte des signatures numériques. Si le pilote n’a pas été signé numériquement, Windows ne l’autorisera pas à être chargé. Cette première technique a permis à Windows de bloquer le chargement de tous les rootkits en mode noyau, car les malwares ne sont généralement pas signés - du moins, ils ne devraient pas l'être.

La deuxième technique utilisée par Microsoft Windows pour empêcher les pilotes en mode noyau de modifier le comportement du noyau Windows est la tristement célèbre protection du noyau, également appelée PatchGuard. Cette routine de sécurité empêche chaque pilote en mode noyau de modifier les zones sensibles du noyau Windows - par exemple. SSDT, IDT, code du noyau.

La combinaison de ces deux techniques a permis aux versions x64 de Microsoft Windows d’être bien mieux protégées contre les rootkits en mode noyau.

Les premières tentatives de briser cette sécurité Windows avaient été lancées par Trousse de démarrage Whistler, un framework de démarrage vendu dans le métro et capable d’infecter les versions x86 et x64 de Microsoft Windows.

Mais cette version TDL3 peut être considérée comme la première infection à rootkit en mode noyau compatible x64 à l'état sauvage.

Le compte-gouttes est abandonné par les sites Web habituels du crack et du porno, mais nous nous attendons bientôt à le voir également abandonné par les kits d’exploitation, comme c’est arrivé aux infections à TDL3.

Lire la suite sur Prevx.

Conseillé:

Qu'est-ce que la «racine sans système» sur Android et pourquoi est-ce meilleur?

Qu'est-ce que la «racine sans système» sur Android et pourquoi est-ce meilleur?

Obtenir un accès root sur les appareils Android n’est pas un nouveau concept, mais sa façon de procéder a changé avec Android 6.0 Marshmallow. La nouvelle méthode racine «sans système» peut être un peu déroutante au début. Nous sommes donc ici pour vous aider à comprendre tout cela, pourquoi vous le souhaitez et pourquoi cette méthode est le meilleur moyen d'enraciner un téléphone Android à l'avenir. .

Windows 10 est-il compatible avec votre logiciel existant?

Windows 10 est-il compatible avec votre logiciel existant?

Microsoft Windows 10 semble être un grand changement. Le numéro de version représente à lui seul un grand pas en avant par rapport à Windows 7, et la plupart des applications par défaut sont des «applications universelles» d'un nouveau style, et non des applications de bureau traditionnelles.

Qu'est-ce que le noyau Linux et que fait-il?

Qu'est-ce que le noyau Linux et que fait-il?

Un noyau est le plus bas niveau de logiciel facilement remplaçable qui s'interface avec le matériel de votre ordinateur. Il est responsable de l'interfaçage de toutes vos applications qui s'exécutent en «mode utilisateur» avec le matériel physique et de permettre aux processus, appelés serveurs, de s'échanger des informations via la communication inter-processus (IPC).

Comment vérifier si votre logiciel ou votre matériel est compatible avec Windows 7

Comment vérifier si votre logiciel ou votre matériel est compatible avec Windows 7

Avez-vous des questions sur la compatibilité d’un logiciel ou d’un élément matériel avec Windows 7? Vous pouvez expérimenter et découvrir la difficulté ou vous rendre sur la page Compatibilité de Microsoft Windows 7 pour effectuer une recherche rapide et facile à la place.

Est-ce compatible avec Windows 8? Votez ou découvrez-le sur le Centre de compatibilité Windows 8.

Est-ce compatible avec Windows 8? Votez ou découvrez-le sur le Centre de compatibilité Windows 8.

Le Compatibility Center pour Windows 8 Consumer Preview est l’endroit où vous pouvez savoir si votre logiciel et vos périphériques favoris sont compatibles avec Windows 8.