Er is een nieuwe versie van de gevaarlijke TDL4 Windows-rootkit ontdekt, die zich nog dieper op de harde schijf verstopt. Vorige versies overschreven de MBR (Master Boot Record) en aan het einde van de harde schijf werd ruimte overgelaten om kwaadaardige onderdelen op te slaan. De nieuwste versie van TDL4 hanteert een geheel andere aanpak. Eerst maakt het een partitie aan op het einde van de harde schijf waarvan wordt opgestart. Bij Vista en nieuwere Windows-versies is er soms aan het einde van de harde schijf wat niet gepartitioneerde of ongealloceerde ruimte.

Meestal is deze ruimte voldoende voor de opslag van de rootkit-onderdelen. Soms is er zelfs voldoende ruimte beschikbaar voor een eigen "rootkit partitie", zo ontdekte anti-virusbedrijf ESET. De malware maakt in dit geval een verborgen partitie aan door de vrije partitie-tabel te wijzigen. De partitie wordt vervolgens als actief aangemerkt en de VBR (Volume Boot Record) van de nieuw aangemaakte partitie geïnitialiseerd.

Als er geen vrije ruimte in de partitie-tabel is, dan meldt de malware dit aan de Command & Control-server en stopt de installatie. Ook fouten worden aan de malware-maker doorgestuurd, wat volgens de virusbestrijder teken is dat de bot nog in ontwikkeling is.

Controle
Door deze aanpassingen wordt de MBR zelf niet aangepast. Het enige dat TDL4 wijzigt is de partitie-tabel. De volgende keer dat de computer wordt gestart, wordt na de MBR de VBR van de rootkit geladen, en daarna pas het Windows besturingssysteem. Ook controleert de malware of het niet in een virtual machine wordt geladen. Dit is standaard bij veel malware, maar nieuw voor de TDL4-rootkit, die als één van de meest geavanceerde rootkits te boek staat.

Volgens ESET wijzen de veranderingen erop dat het team dat de malware ontwikkelde is veranderd, of dat de ontwikkelaars zijn begonnen met de verkoop van een bootkit-builder aan andere cybercriminelen.