Win32/Olmasco: новый виток развития TDL4

На днях в нашем англоязычном блоге мы уже писали об изменениях, произошедших за последнее время с TDL4. Для того, чтобы не было кривотолков нашего исследования, а оно уже стало сумбурно цитироваться русскоязычными СМИ, немного проясню ситуацию. Итак, во второй половине сентября нам попался интересный сэмпл TDL4 (точнее сначала мы так думали), который не смог быть обработан нашим автоматическим трекером для этого буткита. Собственно именно этот факт и привлек наше пристальное внимание к нему, при более детальном анализе оказалось, что это не Win32/Olmarik, а его модификация Win32/Olmasco (также известная, как MaxxSS). Olmasco базируется на исходных кодах TDL3/TDL4 и разрабатывается/поддерживается совсем другой группой разработчиков (это отчетливо видно по модификациям внесенным в код). Первый сэмпл попавший в семейство Win32/Olmasco в наших базах был обнаружен аж в январе этого года ( обновление  антивирусных баз от 2011/01/11), до этого момента мы не выделяли эти модификации в отдельное семейство. Вначале Olmasco базировался на исходных кодах TDL3, но в сентябре ситуация изменилась и появилась модификация базирующаяся на исходных кодах TDL4. Первыми, кто заметил нестандартный TDL4, была компания Microsoft. Исследователи из MS опубликовали интересную особенность нового Win32/Olmasco у себя в блоге. А точнее, новый буткит получил помимо новых возможностей дистрибуции по различным партнеркам, любопытный функционал получения резервных адресов командных центров. Эти адреса скачивались в виде изображений, которые использовались в роли стегано-контейнеров.