Me he enterado a través del blog ThreatPost, que existe un nuevo rootkit llamado TLD4 que resulta ser una variante de un rootkit anterior, pero que ahora tiene la habilidad de poder evitar una de las mayores medidas de seguridad que traen tanto Windows Vista como Windows 7. Como ya muchos sabran Microsoft introdujo una serie de nuevas características de seguridad diseñadas para evitar que el código malicioso llegue a ejecutarce, algo que Microsoft ha llamado "Kernel-Mode Code Signing Policy" (o Política de firma de código en el modo-Kernel). Sin embargo, los atacantes están continuamente encontrando nuevas formas en evitar a estas medidas de protección, y el ejemplo más reciente es un rootkit que puede pasar por alto la protección de firma de drivers de Windows.
La funcionalidad se encuentra en TDL4, que es la última versión de un viejo rootkit también conocido como TDSS o Alureon. TDSS ha causado serios problemas para los usuarios durante más de dos años, y es un ejemplo de un tipo particularmente pernicioso de rootkit que infecta el sector de arranque de un PC. A este tipo de malware se le llama a menudo "bootkit" y puede ser extremadamente difícil de quitar una vez que se detecta. Las versiones anteriores de TDSS – TDL1, TDL2 y TDL3 – son detectados por la gran mayoría de los antivirus actualmente, pero el más problemático ahora resulta ser TDL4.
TDL4 tiene una función específica que está diseñada para evitar una protección en Windows 7 y Windows Vista que requiere que el código a nivel de kernel para ser cargado en una máquina debe estar firmado. Esta política de fima de código para todo programa en Windows en modo Kernel es también aplicable a las máquinas de 64 bits.
El rootkit TDL4 ha implementado una función que permite evadir esta protección, cambiando el proceso de arranque en máquinas protegidas, de acuerdo con un análisis del TDL4 de Sunbelt Software. El rootkit logra su cometido a través de la modificación de cuales programas Windows permite cargar como drivers sin firmar.
Aquí lo que escribió Chandra Prakash de Sunbelt Software en su análisis del TLD4:
"La opción de inicio es cambiada en la memoria del código ejecutado por un MBR infectado. Durante el arranque se configura el valor de una opción de configuración llamado ‘LoadIntegrityCheckPolicy" que determina el nivel de la validación de los programas de inicio. El rootkit cambia este valor de configuración y lo ajusta a un nivel bajo de la validación que efectivamente permite la carga de un archivo malicioso sin firma dll que resulta ser el rootkit y que se llama kdcom.dll, esta es una versión infectada de la normal kdcom.dll que se incluye con Windows."
Si eres usuario de Windows Vista o Windows 7, tal vez te convendría ver la presentación que hizo Joe Johnson de Microsoft sobre Alureon donde detalla la forma de operación del rootkit.