C’è voluto del tempo ma alcuni aggressori sembrano essere riusciti, alla fine, a rendere i sistemi Windows a 64 bit preda dei rootkit. Le versioni a 64 bit di Windows Vista e di Windows 7 non consentono a qualunque driver di accedere alla regione di memoria utilizzata del kernel del sistema operativo: ciò avviene grazie ad un severissimo controllo sulle firme digitali. Allorquando un driver non dovesse apparire firmato digitalmente, Windows ne impedisce il caricamento. Questa tecnica protegge il sistema nei confronti di qualunque rootkit “kernel mode” dal momento che i malware non sono generalmente firmati digitalmente. La seconda tecnica impiegata nelle versioni a 64 bit di Windows consiste nell’uso di PatchGuard (“Kernel Patch Protection“): si tratta di un livello di difesa aggiuntivo che impedisce eventuali tentativi di modifica delle aree “sensibili” che compongono il kernel del sistema operativo.
Marco Giuliani, Malware Technology Specialist per Prevx, aveva definito TDL3 come “il più avanzato rootkit in circolazione“. Per mesi le varie aziende specializzate nel campo della sicurezza informatica non hanno registrato aggiornamenti relativamente al rootkit TDL3. Un segnale che suggeriva come qualcosa di grosso “bollisse in pentola”: in questi giorni è stata infatti isolata una particolare versione del rootkit che prende di mira proprio i sistemi Windows x64 e che quindi rivoluziona nuovamente lo scenario dei malware. “L’infezione, che bersaglia i sistemi Windows a 64 bit si sta già diffondendo sul web“, ha commentato Giuliani spiegando come l’analisi approfondita del rootkit sia ancora in corso.
“Per bypassare la verifica sulla firma digitale e la Kernel Patch Protection, il rootkit interviene sul contenuto del Master Boot Record del disco in modo tale da poter “intercettare” le routine di avvio di Windows, prenderne il possesso e caricare il suo driver“, ha aggiunto Giuliani. Mentre sui sistemi x86 non è necessario riavviare Windows perché il driver “maligno” riesce a caricarsi senza problemi, sulle versioni a 64 bit la procedura che porta all’infezione del sistema è differente: “il rootkit necessita dei privilegi amministrativi per infettare il Master Boot Record e, anche dopo aver effettuato questa operazione, non può avviarsi immediatamente in forza della protezione impostata a livello kernel“, spiega l’esperto di Prevx. Il “dropper” (programma sviluppato per installare un malware od aprire una “backdoor” sul sistema) del rootkit, quindi, forza Windows a riavviarsi: in questo modo, il codice caricato all’interno del Master Boot Record (che tra l’altro è presente in forza cifrata) può eseguire “il lavoro sporco” e “dribblare” le difese del sistema operativo.