Op dit moment verspreidt zich via het internet een zeer gevaarlijke en stiekeme rootkit die nauwelijks door virusscanners wordt opgemerkt, zo waarschuwt beveiligingsbedrijf PrevX. Het beschrijft de Tdss rootkit als een combinatie van de MBR rootkit, Rustock.C rootkit en oudere Tdss varianten. Via de rootkit krijgen aanvallers volledige controle over het systeem, dat uiteindelijk onderdeel van een botnet wordt. Volgens PrevX werken de makers van Trojaanse paarden en andere malware steeds nauwer samen met de ontwikkelaars van rootkits.

"Rootkits en de anti-rootkit ontwikkelingen zijn altijd in een wapenwedloop verwikkeld en het is meer wijdverspreid geworden sinds rootkits de juiste vriend voor Trojaanse paarden, backdoors en andere vervelende infecties zijn geworden om inloggegevens te stelen en toegang tot besmette PC's te krijgen", zegt Marco Giuliani van PrevX. Volgens hem sturen virusschrijvers nu een "pak me als je kan" boodschap naar anti-virusbedrijven, waarbij ze steeds een stap voorlopen.

De derde variant van de Tdss rootkit verspreidt zich volgens het beveiligingsbedrijf in rap tempo. Cijfers kan of wil het niet geven. Doordat deze versie de eigenschappen van drie andere beruchte rootkits combineert, weet het de meeste virusscanners en anti-rootkit software te omzeilen. "Deze nieuwste variant is makkelijk de meeste stiekeme rootkit in het wild te noemen."

Cracks en keygens
De meeste infecties vinden plaats bij gebruikers die cracks en keygens voor illegale software downloaden. De malware vereist adminrechten om te werken, maar in het geval van Windows 7 of Vista zullen gebruikers die een specifieke "crack" zoeken de waarschuwingen van User Account Control negeren, gaat Giuliani verder.

Tdss gebruikt dezelfde techniek als de MBR rootkit, waarbij het alle kernel mode en user mode componenten in de laatste sectoren van de harde schijf opslaat, buiten het bestandssysteem. Hierdoor lijkt dat het alleen om "raw" bytes gaat, die geen alarm af laten gaan. Tdss gaat nog een stap verder door de onderdelen te encoderen voordat die naar de schijf worden geschreven. Bestanden worden in real-time geencodeerd en gedecodeerd.

Om tijdens de Windows boot zichzelf te starten, gebruikt Tdss een techniek van de Rustock.C rootkit, namelijk het infecteren van de Windows system drivers. Wederom hanteert het een slimme manier om dit te doen, die nog door geen enkele anti-rootkit software is te detecteren. "De Tdss rooktit is een zorgwekkende infectie en verspreidt zich snel in het wild, zonder door bijna iemand te worden opgevangen en gedetecteerd." Giuliani adviseert gebruikers om geen cracks of keygenerators te gebruiken, aangezien die de voornaamste aanvalsvector zijn.