четверг, 5 мая 2011 г.

Новая модификация TDL4 обходит костыль MS Advisory (2506014)

Что собственно и следовало ожидать, в конце прошлой недели была обнаружена новая модификация TLD4 (Win32/Olmarik.AMN), которая обходит вставленный костыль от MS для противодействия используемому методу загрузки не подписанных дров (VT). Первая информация поэтому поводу появилась здесь, после чего достаточно оперативно Prevx написали неплохой блогпост по теме.

По сути произошло два важных изменения, это механизм обхода костыля от MS и изменилась функциональность связанная с хуками (неплохой блогпост от mcafee по теме), по всей видимости она была изменена для обхода существующих алгоритмов лечения.

Update: наш официальный блогпост по теме "The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 )"