Kad.dll (MD5: d532084641791ff3db1fbf885120e6e6 VT) это название нового пейлоада для зараженных машин руткитом TDL4, который был предназначен для инжекта в пользовательские процессы (что то вроде cmd32.dll/cmd64), в текущей версии поддерживаются только x86 системы. Появился этот компонент еще в начале года и до сих пор распространяется с кучей отладочных проверок, что наводит на мысли о его маленькой распространенности (подтверждено нашей статистикой) и видимо пока тестировании на небольших группах уже зараженных пользователей.
Библиотека kad.dll базируется на протоколе Kademiliaдля построения P2P. В основе этого протокола лежит распределенная таблица хешей, посредством которой создается новая абстрактная сеть в рамках которой взаимодействуют зараженные узлы. В отличие от архитектуры клиент-сервер (админка-бот), в рамках P2P сети каждый узел может выступать и в роли бота, и роли админки одновременно.
