Windows Vista x64 i Windows 7 x64 su došli na "dobar glas" (u pogledu bezbednosti) u prvom redu zahvaljujući svojim dvema mogućnostima:
- - Driver Signature verification koji se ogleda u striktnoj proveri digitalnih potpisa svih drivera (softvera/koda koji radi u režimu jezgra operativnog sistema).
Ukoliko driver ne poseduje validan digitalni potpis, učitavanje istoga biva blokirano od strane Windowsa.
- - Kernel Patch Protection (tkz. PatchGuard); bezbednosna rutina koja onemogućuje komponentama koje rade u režimu kernela (jezgra) menjanje kritičnih područja kernela (npr. SSDT-a).
UAC (User Account Control) kao prva barijera (jer su za instalaciju drivera neophodne administrativne privilegije), provera potpisa i, na kraju, PatchGuard su za rezultat imali onemogućavanje instalacije/rada rootkitova.
Imali je, nažalost, ključna reč.
Pre par nedelja je primećen Whistler Bootkit sposoban da inficira i x64 Windowse, a pre desetak dana su antivirus kompanije pronašle prve primerke nove varijante TDL3 (TDSS / Alureon) rootkita (već od ranije smatranog najnaprednijim rootkitom) koji poseduje 64-bitni driver.
Da bi zaobišao bezbednosni mehanizam x64 Windowsa, TDL3 rootkit vrši izmenu MBR-a (Master Boot Record) čime dobija mogućnost da presretne startne rutine Windowsa i učita svoj maliciozni driver. Korišćenjem MBR-a kao inicijalne tačke za učitavanje, malware zaobilazi proveru digitalnih potpisa i PatchGuard.
Trenutno se TDL3 distribuira putem pornografskih stranica i korišćenjem exploit kitova, a po informacijama dostupnim do sada, uspešnost antivirus programa u detekciji i/ili uklanjanju malwarea je poražavajuća.
