Nella versione 6.8 di Vir.IT eXplorer sono state introdotte nuove e importanti funzionalità, tra cui tecniche avanzate per la rimozione automatica delle varianti dei ROOTKIT TDL3 e TDL4 (conosciuti anche con gli alias di Alureon, TDSS e TDSSkiller).

TDL3 e TDL4 sono una "famiglia" di ROOTKIT molto temibile che attaccano i Sistemi Operativi Microsoft Windows. Sono considerati tra i malware più virulenti e pericolosi in circolazione, in quanto sono capaci di nascondersi nel sistema impedendo alla maggior parte dei software AntiVirus, commerciali e non, la loro individuazione e rimozione.

I rootkit TDL3 e TDL4 si diffondono attraverso siti di crack e/o reti peer-to-peer e, una volta infettato il computer, scaricano ed eseguono periodicamente altri malware.

Il TDL, chiamato così dai suoi stessi creatori, non è un malware vero è proprio, ma si può considerare come il primo di una nuova famiglia di malware con funzionalità di rootkit che costituisce una base e un insieme di tool di appoggio (anche detto framework) per altri malware. In poche parole, un sistema infetto da TDL è pronto per ricevere altri malware che si trovano la strada aperta e un framework di appoggio da utilizzare per complicare notevolemente la loro rimozione, utilizzando, ad esempio, gli strumenti che il TDL mette a disposizione degli altri malware per nascondersi al sistema (e di conseguenza agli AntiVirus). Non a caso l’acronimo TDL può essere interpretato come Trojan DownLoader.

La variante TDL3 infetta il sistema modificando un file di un device driver, scegliendone uno a caso iterando attraverso la lista di quelli caricati da Windows, per garantirsi l’esecuzione ogni volta che viene caricato il sistema operativo. L’installazione avviene attraverso alcuni step specifici. Quando viene eseguito l’installer (anche chiamato dropper), viene eseguita una dll attraverso l’esecuzione di un servizio, che a sua volta carica un device driver che si occupa di agganciarsi ad alcune funzioni del driver miniport del disco, per controllare le operazioni (in lettura e scrittura) che vengono effettuate sul disco. Questa tecnica gli serve per poter nascondere le sue componenti e i suoi file al Sistema Operativo e a chiunque li dovesse richiedere, evitando anche che qualcuno riesca a leggere o sovrascrivere i suoi settori sul disco (che in ogni caso sono criptati).
Tutte queste operazioni gli garantiscono l’esecuzione ad ogni avvio del Sistema Operativo e un buon livello di protezione e di invisibilità.

Il TDL4, pur presentando delle funzionalità simili al suo predecessore, ha un modo completamente diverso di infettare la macchina e può variare anche tra i diversi Sistemi Operativi. La cosa comune tra tutte le varianti del TDL4 è che infettano l’MBR (Master Boot Record) del disco, sostituendo quello che trova al momento della prima infezione con uno infetto che gli garantisce l’esecuzione del suo codice virale ben prima che Windows venga caricato. In questo modo, una volta caricatosi in memoria quando il computer fa il boot, il TDL4 è libero di effettuare le sue operazioni , nascondersi al Sistema Operativo, scaricare altri malware, ecc... utilizzando tecniche simili a quelle del TDL3.

I ricercatori del C.R.A.M. (Centro Ricerche AntiMalware della TG Soft) hanno studiato questi ROOTKIT, in collaborazione con gli autori di Vir.IT eXplorer PRO, ed elaborato algoritmi avanzati per la loro identificazione e rimozione (in modo automatico).

Quindi, se non avete già avuto modo di apprezzare i software distribuiti da TG Soft, Vi invitiamo a provare Vir.IT eXplorer Lite - Free Edition -, che è la versione gratuita e liberamente utilizzabile, sia in ambito privato che commerciale, della suite AntiVirus e AntiSpyware Vir.IT eXplorer PRO. Ricordiamo, inoltre, che Vir.IT eXplorer Lite è stata progettata e realizzata per essere completamente interoperabile con altri AntiVirus e/o Internet Security già presenti sul computer, senza doverli disinstallare e senza provocare rallentamenti.