Een nieuwe versie van de "meest geavanceerde rootkit ooit gezien", is nu ook in staat om 64-bit versies van Windows te infecteren. De TDL3-rootkit veroorzaakte in februari nog allerlei 'blue screen of deaths' wegens een conflict met een beveiligingsupdate van Microsoft. Een aantal maanden bleef het stil rondom de rootkit. "Dat was behoorlijk verdacht", aldus Marco Giuliani van beveiligingsbedrijf van Prevx. De rootkit werkte volgens het beveiligingsbedrijf naar behoren, hoewel de dropper nog steeds adminrechten nodig heeft om de malware te installeren. "Het team achter de TDL3-rootkit was gewoon te stil om niets nieuws te verwachten."

De nieuwste versie die nu is ontdekt, is in staat om alle Windows platformen te infecteren. "Het duurde even, maar 64-bit Windows systemen zijn officieel het nieuwe doelwit van rootkits." Giuliani noemt dit zorgwekkend en belangrijk nieuws. "64-bit versies van Windows worden als veel veiliger dan hun respectievelijke 32-bit versies beschouwd, omdat sommige geavanceerde beveiligingsmaatregelen bedoeld zijn om het verkrijgen van kernel mode en het kapen van de Windows kernel te bemoeilijken."

Beveiliging
Vista 64-bit en Windows 7 64-bit staan niet toe dat elke driver toegang tot kernelgeheugen krijgt vanwege controle van de digitale handtekening. Als de driver niet gesigneerd is, wordt het niet door Windows geladen. Daardoor kon Windows elke kernel mode rootkit blokkeren, omdat de meeste malware niet gesigneerd is. De tweede anti-rootkit techniek is de Kernel Patch, ook bekend als PatchGuard. Die voorkomt dat kernel mode drivers gevoelige gebieden van de Windows kernel aanpassen. Onder cybercriminelen werd al een framework bootkit aangeboden die zowel x86 als x64 systemen kon infecteren. "Maar deze TDL3 versie is de eerste 64-bit rootkit in het wild," zegt de beveiliger.

"Het lijkt erop dat iemand de TDL3 broncode heeft verkregen en de bootkit-infectie eraan heeft toegevoegd. Dit omdat de TDL3-rootkit nu ook de Master Boot Record infecteert, net zoals de MBR rootkit jaren geleden deed en de Whistler Bootkit nu doet." Om de beveiligingsmaatregelen van 64-bit Windows te omzeilen patcht de rootkit de MBR van de harde schijf, zodat het de Windows opstart routines kan onderscheppen en aanpassen, om vervolgens de eigen driver te laden. Hierdoor worden zowel PatchGuard als de controle op gesigneerde drivers omzeild.

Reboot
Op x86 versies van Windows hoeft de malware het systeem niet meteen te herstarten, omdat het de driver kan laden wanneer het wil. Bij x64 versies werkt dit anders. De rootkit heeft hier adminrechten nodig, maar is dan nog steeds niet in staat om de eigen driver te laden. Na installatie laat het Windows daarom meteen herstarten, zodat het via de aangepaste MBR controle over het systeem heeft. De versie die Prevx ontdekte is mogelijk nog een betaversie, aangezien de rootkit niet altijd werkte.

Giuliani denkt dat iemand de TDL3 broncode heeft gekocht en een nieuw team nu de 64-bit functionaliteit heeft toegevoegd. "Hoe het ook zij, met deze TDL3 release is het tijdperk van 64-bit rootkits officieel aangebroken." Eerder liet Microsoft nog weten dat 64-bit Windows malware zou verwarren.