Rootkits voor 64-bit versies van Windows mogen dan uitsterven, toch zijn er nog voldoende malware-makers die zich op deze platformen richten. Onlangs analyseerde Microsoft twee malware-families, Ursnif en Claretore. Beide Trojaanse paarden die informatie stelen en gebruikersactiviteit monitoren. Om de werking te verhullen gebruiken zowel Ursnif als Claretore obfuscatie, waarbij er speciaal rekening met Windows 64-bit is gehouden.

"Met de groei van de 64-bit architectuur en bijbehorende besturingssystemen, zien we dat de 'usual suspects' de trend volgen", zegt Ray Roberts van het Microsoft Malware Protection Center. Ursnif gebruikt als obfuscatie een primaire laag, die een tweede laag van geobfusceerde code ontsleutelt. Deze tweede laag ontsleutelt en pakt het binaire bestand uit.

Familie
Claretore gebruikt ook twee lagen, maar voegt ook een 64-bit anti-emulatie truc toe om analyse te bemoeilijken. Daarnaast zorgt deze malware ervoor dat bij het ontsleutelen van de tweede obfuscatielaag de Claretore Trojan in het geheugen wordt geladen.

Volgens Microsoft's Chun Feng toont dit aan dat de twee malware-families, ondanks de verschillen, hetzelfde doel nastreven. "Dit is weer een voorbeeld van hoe malware-makers zich nu met hun obfuscatie specifiek op 64-bit systemen richten", aldus Chun.