Fino ad ora le versioni a 64 bit dei sistemi operativi Microsoft (Windows Vista e Windows 7) erano riuscite a resistere agli attacchi dei rootkit grazie al fatto che permettono ai driver di accedere alla memoria usata dal kernel solo nel caso in cui esso dispone di firma digitale. Diversamente, infatti, il sistema operativo non ne consente il caricamento. E questo vale anche per i malware, solitamente privi di firma digitale, che pertanto vengono bloccati. A questa misura di sicurezza se ne aggiunge un’altra che si basa sull’utilizzo di PatchGuard, un meccanismo di difesa ulteriore che blocca i tentativi di modifica del kernel del sistema operativo. È successo però che una particolare versione del rootkit TDL3 che si sta diffondendo tramite Internet è in grado di aggirare questi due sistemi di protezione. La tecnica utilizzata da questo rootkit è quella di forzare il riavvio del sistema per superare le protezione del kernel ed infettare il Master Boot Record dell’hard disk in modo da intervenire sulle routine di avvio del sistema operativo e caricare il proprio driver.
|