Rootkit che bypassa la protezione della firma digitale dei driver Windows

TDL4 è la nuova versione di una famiglia di rootkit già noti che abbassa le difese di Windows a 64 bit contro il caricamento nel kernel di driver non firmati.

La prima parte del malware si annida nel MBR e modifica in memoria il parametro del kernel LoadIntegrityCheckPolicy e fa in modo che vengano accettati anche i driver non firmati in maniera digitale.

Questo permette al kernel di caricare una versione modificata di kdcom.dll, un componente del debugger del kernel. Le funzioni modificate dal malware esportate dalla DLL bloccano di fatto molti tentativi di debugging del rootkit.

Se la parte del rootkit caricata nel MBR non entrasse in azione, la DLL sostituita provocherebbe un errore tipo *** Windows is unable to verify the signature of the file \Windows\system32\kdcom.dll. Ma l’abbassamento del livello di sicurezza forza il kernel a non effettuare alcuna verifica.

A questo punto la porta è aperta per il caricamento di qualsiasi altra schifezza nel kernel. (via Threat Post)