Анализ показывает, что некоторые компоненты руткита (драйвер режима ядра, компоненты режима пользователя) были написаны заново, хотя другие (например, компоненты загрузчика) остаются теми же, что и в предыдущих версиях, пишет директор ESET по анализу вредоносных программ Дэвид Харли. Либо в составе авторов TDL произошли изменения, рассуждают исследователи, либо они решили сделать руткит более пригодным для продажи другим киберпреступникам.
Семейство руткитов TDL (или TDSS) характеризуется особо сложными и изобретательными методами ухода от обнаружения. В отличие от многих других вирусных программ, они способны заражать 64-разрядные системы Windows, используют пиринговую сеть для передачи команд и в целях защиты изменяют главную загрузочную запись диска (MBR). Последние версии, однако, вместо записи в MBR создают на диске скрытый раздел со специальной файловой системой, позволяющей руткиту выявлять изменения собственных компонентов.