TDL4 è la nuova versione di una famiglia di rootkit già noti che abbassa le difese di Windows a 64 bit contro il caricamento nel kernel di driver non firmati.
La prima parte del malware si annida nel MBR e modifica in memoria il parametro del kernel LoadIntegrityCheckPolicy e fa in modo che vengano accettati anche i driver non firmati in maniera digitale.
Questo permette al kernel di caricare una versione modificata di kdcom.dll, un componente del debugger del kernel. Le funzioni modificate dal malware esportate dalla DLL bloccano di fatto molti tentativi di debugging del rootkit.
Se la parte del rootkit caricata nel MBR non entrasse in azione, la DLL sostituita provocherebbe un errore tipo *** Windows is unable to verify the signature of the file \Windows\system32\kdcom.dll. Ma l’abbassamento del livello di sicurezza forza il kernel a non effettuare alcuna verifica.
A questo punto la porta è aperta per il caricamento di qualsiasi altra schifezza nel kernel. (via Threat Post)
4 risposte a “Rootkit che bypassa la protezione della firma digitale dei driver Windows”
ciao ho un maledettissimo problema inerente alla post sopra descritto come faccio a risolverlo ho provato nell’ordine
ripristino da cd 7 ultimate 64 bit di kdcom.dll
sostituzione dello stesso fiel tramite linux
scansione anti trojan e malware
aiuto!!!
Rivolgiti ad un professionista che sapra’ come operare. Se non hai esperienza con queste cose rischi solo di peggiorare la situazione de fai da te.
un indicazione però, prima di dare soldi a un “professionista”, sarebbe gradita. dato che per la rete soluzioni definitive non si trovano e questo sito “siamogeek.com” sembra fatto da veri intenditori che credo siano in grado di aiutare gli utenti.
Ragazzi fate cosi:scaricatevi unlocker e il file kdcom.dll.zip dal web,con unlocker rinominate il vecchio dll in kdcombackup.dll e inserite quello nuovo al posto del vecchio e avrete risolto il problema.