Объяснение такой географии довольно сложно, но должно в первую очередь базироваться на факте распространения Stuxnet на флешках. Такой путь не является самым быстрым, но, с другой стороны, может обеспечить вирусу весьма долгий срок существования (как мы видим это на примере вируса Sality, который также распространяется на съемных накопителях). Очевидно, что пока еще эпидемия не вышла за пределы азиатского региона. Но возможно, эта же география поможет установить и причину наличия подписанных руткит-компонент? Конечно, конспирологические теории - не самое благодарное дело, но паранойя – это профессионально для it-security. Поэтому позволю себе высказать следующие две гипотезы.

Realtek является «железячной» компанией, и написание софта для своих устройств - это побочный процесс, для которого оптимальней всего - использование аутсорсеров. А какая страна является всемирным лидером по аутсорсинговому программированию? Правильно: Индия. Может аутсорсер, создающий софт для компании, обладать средствами для «подписывания» программ сертификатом этой компании? Возможно, да.

Хотя, если строить предположения, то я бы не стал сбрасывать со счетов и вариант того, что данные драйвера на самом деле являются легальными драйверами, созданными компанией Realtek. Да, обладающие руткит-функционалом и скрывающими от пользователя файлы вида ~WTRxxxx.tmp и *.lnk файлы, расположенные в корне сменного накопителя. Собственно, почему бы и нет? Историю с руткитом XCP от компании Sony антивирусная индустрия помнит еще очень хорошо. Ах да, я забыл кое-что важное:

«Мúртовые (лат. Myrt áceae) — семейство покрытосеменных растений, принадлежащее порядку Миртоцветные (Myrtales).К этому семейству относятся такие растения, как мирт, гвоздичное дерево, гуава, фейхоа, чайное дерево и эвкалипт.»

Название «Мирт и гуава» в этой серии постов использовано не просто так. В коде драйверов руткита содержится авторское название этого проекта:

b:\myrtus\src\objfre_w2k_x86\i386\guava.pdb
Проект «Мирт», модуль «Гуава».

Продолжение следует.