"De TDL3 rootkit is op dit moment een groot probleem voor nagenoeg alle antivirusprogramma’s", zo waarschuwt de maker van Hitman Pro. De malware-scanner is wel in staat om de ongewenste software te herkennen en te verwijderen. Onlangs waarschuwde ook al beveiligingsaanbieder PrevX voor deze rootkit, die zich snel via het internet verspreidt. “De makers van TDL3 gebruiken zeer geavanceerde methoden om detectie door antivirusprogramma’s te voorkomen”, aldus ontwikkelaar Mark Loman. “De rootkit lift mee op een standaard driver wat detectie bemoeilijkt.”

De eerste variant van deze rootkit, ook bekend als Alureon, verscheen in de zomer van vorig jaar en wordt nog steeds niet door een groot aantal virusscanners herkend. Afgelopen zomer verscheen de tweede variant, terwijl in november de derde variant opdook. TDL3 registreert zichzelf eerst als print processor. Het printer subsysteem (spoolsv.exe), dat systeemrechten bevat, laadt deze Print Processor vervolgens in.

Onopgemerkt
Virusscanners die ook het gedrag van processen monitoren slaan bij deze actie geen alarm omdat het printer subsysteem een vertrouwd onderdeel van Windows is. Als print processor heeft TDL3 nu volledige systeemrechten en infecteert het de laagst gelegen systeem driver die verantwoordelijk is voor de communicatie met de harde schijf. Als virusscanners deze driver controleren, krijgen ze het originele bestand voorgeschoteld, zodat de infectie onopgemerkt blijft. Daarnaast plaatst TDL3 op de laatste sectoren van de harde schijf een eigen versleutelde bestandssysteem bovenop het traditionele bestandssysteem. Deze versleuteling zorgt ervoor dat deze bestanden niet rechtstreeks van schijf zijn te lezen, wat detectie door virusscanners onmogelijk maakt. Het versleutelde bestandssysteem is met name handig om allerlei andere gevaren, die via internet worden binnengehaald, op te slaan.

Andere virusschrijvers werken samen met de makers van TDL3 om op deze manier hun virussen te verbergen. Volgens Surfright, aanbieder van Hitman Pro, is het aantal anti-virusbedrijven dat momenteel de TDL3 infectie kan detecteren, op één hand te tellen. "En het aantal bedrijven die de infectie ook daadwerkelijk kunnen verwijderen is bijna nihil."

Hitman Pro 3 kan machines binnen een paar minuten vanaf een USB stick, CD/DVD, lokale harde schijf of netwerkschijf scannen. Daarbij is het als aanvulling op bestaande antivirusprogramma’s te gebruiken. Het scannen is gratis, waardoor de effectiviteit van de huidige virusscanner te controleren is. Het 5MB grote anti-virus programma is via deze pagina te downloaden.