Evolution de « Blue Screen of Death »
Une première variante du rootkit « Blue Screen of Death » avait déjà infecté des milliers de PC en février dernier.
Ayant causé de sérieux dommages, Microsoft réagit et publia une mise à jour provocant le crache de certaines machines sous Windows 32 bit.
Accusation portée par PrevX et démentie par Microsoft.
L'utilisateur d'un OS version 64 de Windows pouvait se croire à l'abri, ce temps est révolu, le rootkit a réussi à passer les défenses du kernel et infecte le secteur de boot du disque dur.
Ce rootkit est entré dans l'histoire comme la première infection sur Windows 64.
Les deux protections majeurs des systèmes 64 de Windows que ce rootkit arrive à franchir :
1) Kernel-Mode Code Signing, qui exige que tous les logiciels ou drivers qui tente de s'exécuter soient signés numériquement, avant autorisation en mode Kernel.
2) Kernel Patch Protection ou "PatchGard" protège le code et les structures critiques du noyau de Windows contre la modification par du code ou des données inconnues.
Chez PrevX l'idée serait, que d'un TDL3 on aurait adapté une plate-forme de rootkit pour X64, en y ajoutant une technique d'infection bootkit.
Il semblerait que les rootkits de ce type resteraient quasiment indétectables par les antivirus actuels.
Blog de PrevX ou de plus amples informations sont disponibles.
Les chercheurs de chez Symantec, ont à leur tour confirmés l'exploit et précisent que les composants principaux de Tidserv sont stockés sous forme chiffrée dans un espace vide à la fin du DD, ce qui rend plus difficile leur détection et suppression une fois l'OS infecté.
Cela prouve une fois de plus, qu'aucun système n'est à l'abri d'une infection !