Het afgelopen jaar zijn er verschillende rootkits verschenen die zich op Windows 7 richten, zowel de 32- als 64-bit versie van het besturingssysteem. De rootkits en bootkits gebruiken verschillende manieren om zich op de harde schijf te nestelen. Zo infecteert de beruchte TLD4 rootkit de Master Boot Record (MBR). De Olmasco rootkit wijzigt de partitietabel van de schijf, in plaats van de MBR. Het zoekt naar een lege plek in de partitietabel en vrije ruimte aan het einde van de harde schijf, waar het een nieuwe, verborgen partitie aanmaakt. Op die partitie staat de malware en configuratie informatie.

De ZeroAccess rootkit daarentegen, infecteert de kernel-mode boot start driver, en overschrijft die volledig met de eigen code. De 64-bit versie installeert het bestand consrv.dll in de “systemroot\system32” map en registreert het als een onderdeel van het Windows Subsystem, dat tijdens het opstarten wordt geladen.


Trend
De Rovnix rootkit introduceerde in 2011 een nieuwe trend, door het VBR (Volume Boot Record) en Bootstrap code te wijzigen. Door deze techniek weet de malware veel beveiligingsprogramma's en virusscanners te omzeilen, aangezien deze features het detecteren en verwijderen van de rootkit veel lastiger maakt, aldus David Harley van anti-virusbedrijf ESET.

Daarnaast werd de 'bootkit builder' software voor VBR bootkits zoals Rovnix te koop aangeboden en verscheen daardoor ook in de Carberp Trojan. Dit Trojaanse paard richt zich onder andere op het aanvallen van Nederlandse banken.

Verder verschijnen er steeds meer complexe dreigingen die hun eigen verborgen opslag gebruiken en door het besturingssysteem aangeboden diensten vermijden. "Door deze aanpak houdt de malware de lading en configuratiegegevens geheim, zodat virusscanners en beveiligingssoftware ze niet zo snel vinden", besluit Harley.