"このルートキットは一見したところ、今年確認された「TDL4」ルートキットの亜種よりも、それ以前の「TDL3」ルートキットの初期の亜種に似ているという。TDL3のように、PEファイルのリソースディレクトリーにコードを挿入して寄生虫のようにドライバーソフトに感染する。またTDL3の初期亜種と同様に、ドライバーのディスパッチテーブル内の一部ポインターをフックする。 ただ、一部のアンチルートキットツールではディスパッチテーブルのフックが表示されない。フックが表示されないのは、アンチルートキットツールが読み込んでいるメモリーが実際のメモリーではないからだ。実際にはフックされているのに、アンチルートキットツールからはフックされていないように見える。マルウエアの作成者がこの手法を使ったのは、開発者が疑わしい動作に気付かないようにするためだ。"
大きな脅威の予兆か、短縮URLと位置情報を利用したスパムボット - 世界のセキュリティ・ラボから:ITpro
