1.1　TDL3在真实环境中的传播历史

TDL3 Rootkit于2010年首次被发现[1]，是当时开发的最复杂的恶意软件之一。它的隐匿机制对整个反病毒行业构成了挑战（它的Bootkit继任者TDL4也是如此，它成为x64平台上第一个广泛使用的Bootkit）。

TDL3是通过子公司DogmaMillions和GangstaBucks（这两家公司已经被取缔）以按安装付费（PPI）的商业模式进行分发的。PPI方案在网络犯罪集团中很流行，它类似于通常用于分发浏览器工具栏的方案。工具栏分发程序通过为每个包或包内嵌唯一标识符（UID）来跟踪它们的使用，每个包或捆绑包可以通过不同的分发渠道下载。这允许开发人员计算与UID关联的安装数量（用户数量），从而确定每个分发渠道产生的收入。同样，分发服务器信息被嵌入TDL3 Rootkit可执行文件中，特殊的服务器计算与分发服务器相关联并向其收费的安装数量。

这些网络犯罪集团的同伙收到了一个独特的登录名和密码，用以识别每个资源的安装次数。每个分公司也有一个私人经理，你可以向他们咨询任何技术问题。

为了减少被反病毒软件检测的风险，附属机构频繁地重新打包分布式恶意软件，并使用复杂的防御技术来检测运行环境中的调试器和虚拟机，从而混淆恶意软件研究人员的分析[2]。合作伙伴也被禁止使用像VirusTotal这样的资源来检查他们的当前版本是否被安全软件检测到，他们甚至受到了要罚款的威胁。这是因为提交给VirusTotal的样本很可能会引起安全研究实验室的注意，从而有效地缩短了恶意软件的使用寿命。如果恶意软件的分销商担心产品的隐匿性，他们会提到恶意软件开发者运行的服务，这种服务类似于VirusTotal，但可以保证提交的样本不会落入安全软件供应商之手。

[1]http://static1.esetstatic.com/us/resources/white-papers/TDL3-Analysis.pdf

[2]Rodrigo Rubira Branco, Gabriel Negreira Barbosa, and Pedro Drimel Neto,“Scientific but Not Academic Overview of Malware Anti-Debugging, Anti-Disassembly and Anti-VM Technologies”(paper presented at the Black Hat USA 2012 conference, July 21–26, Las Vegas, Nevada), https://media.blackhat.com/bh-us-12/Briefings/Branco/BH_US_12_Branco_Scientific_Academic_WP.pdf.