2011年10月24日星期一 The Register消息:ESET上星期早些时候的调查表明TDL4 rootkit(也被称为TDSS或者Alureon)出现了新的变种,新的病毒的内核驱动程序和功能方面都较之前版本有较大的改动。新病毒的大幅度改动意味着TDL4在键盘记录器、广告软件和其他恶意程序之后成了新的犯罪软件组织利用的新型恶意程序。
新的恶意软件TDL4尝试保留防止反病毒或者其他安全软件的探测,另外它在被感染的机器硬盘尾部创建一个隐藏的分区并将之激活。这说明这款恶意软件在Windows系统启动之前就能独立的运行。恶意软件还有防移除特性,恶意软件创建的分区上会预装上病毒的系统文件并检查TDL4的完整性(如果病毒组件不完整,病毒将极易被移除)。
这并不是说TDL4不在最复杂的犯罪软件之列。当2008年它出现的时候利用了低级的指令,这使得大多数反病毒软件都没能侦测到他的存在,另外它还通过加密技术在被感染的电脑和服务之间发指令组织网络监控工具的运作。TDL4是第一款通过绕开Windows核心态签名认证感染Windows64位机的恶意程序。六月,卡巴斯基的研究人员说:TDL4已经在短短三个月内感染了450万台电脑。TDL4还能感染Kad(P2P网络的一种)网络上缺乏保护的电脑。
