Rootkit.Otlard/IEBooot apparu courant Mai 2009, est plus ou moins un cousin éloigné de Cutwail/Srizbi mais qui ne semble pas avoir des fonctionnalités de SPAM.

Rootkit.Otlard/IEBooot permet de :

• voler des informations sur les comptes bancaires et autres systèmes de paiements.
• contrôler le PC (PC Zombis / botnet)
• télécharger et exécuter de nouveaux malwares
• est actif en mode sans échec
• se mettre à jour.
• donner la possibilité d’utiliser l’ordinateur en temps que proxy

Détection Rootkit.Otlard/IEBooot

Deux drivers sont installés, les noms sont aléatoires.
Un des deux drivers commencent par une série chiffres 100ac83d.sys, 12ce63a2.sys
Le second par des lettres : jeddf7f.sys, jntc474.sys

Ces derniers sont copiés dans le dossier drivers.
Exemples :
C:\Windows\System32drivers100ac83d.sys
C:\Windows\System32driversjntc474.sys

Une description plus détaillée est disponible en anglais depuis ce lien : http://novirusthanks.org/blog/2009/05/iebooot-and-rootkitotlard-new-malware-pack/