Наконец дождались и MS стала прикрывать, мягко говоря очень не новые дыры, связанные с некоторыми методами обхода загрузки не подписанных дров для x64 винды. В частности в вышедшем вчера патче MS Advisory (2506014) были внесены изменения в загрузчик winload.exe, которые препятствуют загрузки не подписанных драйверов TDL4. В процессе инсталляции руткита все происходит, как обычно, но вот после перезапуска системы его драйвера просто не будут загружены.
Но стоит отметить, что этот путь к спасению, работает только для пользователей, которые будут подвержены заражению после этого патча. Тем, кого угораздило заразится ранее уже ничего не поможет :) Точнее TDL4 умеет блокировать доступ к серверам с обновлениями winupdate, поэтому получить заветный патч им будет нелегко.
Ну и для общности картины надо отметить, что семейство китайских буткитов, дроппер которого мы детектим, как NSIS/TrojanClicker.Agent.BJ ( VT ), использует иные методы обхода проверки подписи, которые этим патчем не были закрыты.
Update: Вышел наш блог пост "KB2506014 kills TDL4 on x64" в официальном блоге , с более подробным объяснением случившегося.
MS Advisory (2506014) закрывает брешь для установки на x64 винде
MS Advisory (2506014) закрывает брешь для установки на x64 винде
Большой брат следит за вами, но мы знаем, как остановить его
