Le rootkit TDL parvient a pénétrer les systèmes Windows 64 bits

Les experts évoquent le kit "le plus sophistiqué" du moment

Le rootkit TDL parvient a pénétrer les systèmes Windows 64-bit, les experts évoquent le kit "le plus sophistiqué" du moment

Le rootkit TDL, ou Alureon, s'en prends depuis plusieurs années aux versions 32-bit de Windows.

Or, depuis peu, l'outil semble avoir été modifié pour pouvoir se frotter aux versions 64-bit de l'OS.

Windows 7 64-bit a ainsi été exploité, malgré ses fonctionnalités de sécurité avancées, et surtout améliorées par rapport aux précédentes versions du système.

D'après le spécialiste en sécurité Prevx, la première attaque réussie se serait déroulée en août 2010. Pire, il s'agira du "plus virulent rootkit jamais vu".

Il est utilisé comme backdoor et installe des keyloggers et d'autres malwares sur les machines contaminées, puis il les met à jour lorsque cela est nécessaire. Très discret, il est de plus quasiment indétectable par la majorité des anti-virus. Même les white hat hackers ont du mal à le repérer.

Un rapport publié hier par GFI Software donne plus de détails quant à son mécanisme d'intrusion dans les versions 64-bit de Windows : le rootkit le plus récent (TDL4) s'infiltre dans le noyau de l'OS de Microsoft en faisant fi de son "kernel mode code signing policy" (qui permet uniquement aux drivers signés numériquement d'être installés). Suite à cela, le rootkit s'attache au master boot record d'un disque dur, pour ensuite modifier les options boots de la machine. Un sacré bazard.

Sources : Prevx ; GFI Software ; Microsoft (analyse technique très complète en PDF)