Специалисты компании ESET, отслеживающие развитие ботнетов на основе одного из наиболее изощренных современных руткитов, известного под названием TDL4, отметили новый этап его эволюции. Анализ показывает, что некоторые компоненты руткита (драйвер режима ядра, компоненты режима пользователя) были написаны заново, хотя другие (например, компоненты загрузчика) остаются теми же, что и в предыдущих версиях, пишет директор ESET по анализу вредоносных программ Дэвид Харли. Либо в составе авторов TDL произошли изменения, рассуждают исследователи, либо они решили сделать руткит более пригодным для продажи другим киберпреступникам.
Семейство руткитов TDL (или TDSS) характеризуется особо сложными и изобретательными методами ухода от обнаружения. В отличие от многих других вирусных программ, они способны заражать 64-разрядные системы Windows, используют пиринговую сеть для передачи команд и в целях защиты изменяют главную загрузочную запись диска (MBR). Последние версии, однако, вместо записи в MBR создают на диске скрытый раздел со специальной файловой системой, позволяющей руткиту выявлять изменения собственных компонентов.