De nieuw ontdekte rootkit die 64-bit versies van Windows 7 en Vista kan infecteren, maakt misbruik van een Windows feature om dit te doen. De TDL3-rootkit, ook bekend als Alureon, was voorheen alleen in staat om 32-bit Windows versies te infecteren. Microsoft verwijderde de rootkit de afgelopen maanden op 1,2 miljoen systemen. In 77% van de gevallen ging het om Windows XP, gevolgd door Vista (18%) en 32-bit Windows 7 (5%).

Donderdag waarschuwde beveiligingsbedrijf Prevx voor een variant die succesvol de beveiliging van Windows 7 en Vista omzeilt en zo ook 64-bit systemen kan besmetten. Microsoft is sinds drie weken met de nieuwe versie bekend, die 64-bit versies van Windows XP en Server 2003 zodanig verminkt, dat ze niet meer kunnen opstarten.

Feature
"Normaliter heeft 64-bit Windows verschillende beveiligingsmaatregelen tegen onbetrouwbare aanpassingen van de kernel, waaronder de vereiste dat alle drivers gesigneerd zijn en PatchGuard, dat het manipuleren van bepaalde systeemstructuren voorkomt", zegt Jason Conradt van het Microsoft Malware Protection Center. "Naast het onderscheppen van de OS boot sequentie in het begin van de cyclus, configureert de malware het besturingssysteem op een zichtbare manier om het laden van niet gesigneerde drivers te accepteren."

Conradt maakt duidelijk dat de door Alureon gebruikte methode een ondersteunde "extensibility feature" van de kernel is, die ook door full disk encryptie en compressie software wordt gebruikt. "Het schendt niet de garantie die PatchGuard biedt over de integriteit van het systeem."

Security Essentials
Gebruikers van Microsoft Security Essentials en Forefront zouden al sinds 6 augustus tegen de nieuwe versie beschermd zijn. Wie wil controleren of zijn of haar systeem besmet is, kan 'Disk Management' via het configuratiescherm en Computer Management starten of Diskpart vanaf de command line aanroepen. In beide gevallen worden er geen schijven weergegeven, wat volgens Conradt een bijverschijnsel van de malware is.