Prvý 64 bit. rootkit pre Windows x64 sa reálne šíri internetom

Malware pre 64 bit. architektúru nie je novinkou, avšak zatiaľ sme sa nestretli s tým, že by sa reálne šíril prostredníctvom internetu. Podľa spoločností Prevx a Symantec k tomu došlo práve teraz. TLD3 rootkit je známy už niekoľko mesiacov ako veľmi pokrokový rootkit, ktorý sa reálne šíri. Avšak v súčasnosti bol rootkit aktualizovaný údajne na build 3273 a je schopný infikovať 64 bit. verzie operačného systému Microsoft Windows. Dokáže obísť bezpečnostné mechanizmy ako prísnu kontrolu digitálnych podpisov, či PatchGuard. Podľa Prevx-u sa rootkit šíri internetom, najmä prostredníctvom porno stránok. Rootkikt podľa všetkého infikuje MBR - Master Boot Record pevného disku. V MBR si zaistí kontrolu nad dátamy, ktoré sa načítavajú z disku a mení ich tak, že dokáže oklamať bezpečnostné mechanizmy 64 bit. operačného systému. Veľa podrobností zatiaľ nie je známych, Prevx a Symantec v súčasnosti prevádzajú podrobnejšie analýzy a o nových zisteniach budú informovať.
Objavujú sa i špekulácie o predaji pôvodného TLD3 rootkita novým vlastníkom, ktorí majú záujem o pridanie a vývoj 64 bit. funkcionality. Aj keď prvý reálne sa šíriaci rootkit poukazuje na nový trend, zatiaľ je predčasné hovoriť o revolúcií, skutočný vývoj ukáže najbližšia doba.
Paradoxom je, že v súčasnosti neexistuje žiadny plnohodnotný antirootkit, ktorý by umožňoval úplnu diagnostiku rootkitov na 64 bit. platforme. Autori argumentujú prevžne faktom, finančnej náročnosti pri digitálnom podpisovaní ovládačov, ktoré sú pre diagnostiku a funkčnosť antirootkitov nevyhnutné.

Zdroj: prevx.com, computerworld.com, Symantec