De Windows 64-bit rootkit die vorige week werd ontdekt, is vooral actief op crack- en pornosites, maar gebruikers met verminderde rechten hoeven zich geen zorgen te maken. Het gaat dan om de dropper die via social engineering uiteindelijk de TDL3 (Alureon) rootkit op systemen installeert. Toch verwacht beveiligingsbedrijf Prevx dat de malware ook aan exploitkits zal worden toegevoegd, waardoor ook ongepatchte gebruikers risico lopen. Iets wat ook met huidige TDL3 infecties het geval is.
De dropper gebruikt twee verschillende technieken om systemen te infecteren. Als het een 32-bit systeem is, laadt de malware de rootkit driver via de 'AddPrintProvidor API truc." Vervolgens wordt na het laden van de driver de master boot record overschreven. In het geval van een 64-bit Windows versie kan de malware de driver niet laden, omdat Windows 64-bit het laden van ongesigneerde drivers niet toestaat. De dropper gebruikt daarom de "MBR truc", waarbij de MBR meteen wordt overschreven en het systeem wordt herstart.
Zowel bij de 32 als 64-bit versies van de dropper, worden alle onderdelen van de infectie in de laatste ongebruikte secties van de harde schijf opgeslagen. Deze onderdelen worden bij de volgende reboot aangeroepen.
Rechten
"Als deze versie 64-bit versie van de TDL3 rootkit zich net als de oudere versies verspreidt, is er geen twijfel dat het snel een ernstige dreiging zal worden", zegt Marco Giuliani van Prevx. "De deuren naar het hart van 64-bit zijn officieel geopend." De overgangsperiode van 32-bit naar 64-bits besturingssystemen is enige jaren geleden al ingezet. Een beweging die virusschrijver nauwlettend volgen. "Ze willen natuurlijk niet onvoorbereid zijn."
Gebruikers die met verminderde rechten surfen hoeven zich vooralsnog geen zorgen te maken. "De dropper infecteert niet het systeem als het met een limited account of UAC draait. Zegt social engineering je iets?", aldus Giuliani.
Deze posting is gelocked. Reageren is niet meer mogelijk.