Что собственно и следовало ожидать, в конце прошлой недели была обнаружена новая модификация TLD4 (Win32/Olmarik.AMN), которая обходит вставленный костыльот MS для противодействия используемому методу загрузки не подписанных дров ( VT). Первая информация поэтому поводу появилась здесь, после чего достаточно оперативно Prevx написали неплохой блогпостпо теме.
По сути произошло два важных изменения, это механизм обхода костыля от MS и изменилась функциональность связанная с хуками (неплохой блогпостот mcafee по теме), по всей видимости она была изменена для обхода существующих алгоритмов лечения.
Update: наш официальный блогпостпо теме "The co-evolution of TDL4 to bypass the Windows OS Loader patch (KB2506014 )"
Новая модификация TDL4 обходит костыль MS Advisory (2506014)
Новая модификация TDL4 обходит костыль MS Advisory (2506014)
Хакеры ненавидят этот канал!
Спойлер: мы раскрываем их любимые трюки
