что-то не понятно, за счет каких именно техник троянец оставался неуловимым 1.5 года? перечисленные техники не новые, к тому же описаны в подозрительно общих словах ("неклассический метод перехвата" и "защита от антируткитов" это вообще что). в перечисленных техниках нет ничего, что могло бы гарантировать полную маскировку поведения на 1.5 года.
Для примера, рассылка спама - это принципиально немаскируемый (с точки зрения внешнего наблюдателя) факт. Он быстро всплывает (по пинку провайдера, например) и провоцирует ручной поиск заражения, а от ручного поиска не ускользнет даже то, что ускользнуло от АВ. Тем более если техники столь не-революционны, как описано.
Еще один принципиально немаскируемый след - распространение. Эксплойты? Ползание по сети? Email/IM? Все это довольно заметно.
Привязка к материнке это единственная новость для меня, но в этой технике даже гипотетически ничего революционного или неуловимого нет - все равно коду надо будет когда-то исполняться, стало быть его можно как минимум сдампить на зараженной машине; плюс, возникает вопрос, в каком виде бинарник попадает на машину в первый раз (когда только что пришел и еще не привязался)....
Что я хочу сказать
Все может быть, конечно, но.... логических доказательств "таки существования неуловимого руткита" в пресс-релизе не вижу. Фактическое доказательство одно - скриншот строки PDB (легко сделать фейк). Вывод: Неужто ДокторВеб подхватил моду на галлюцинозный маркетинг?
p.s. цитата на тему самосбывающихся пророчеств
(с) Пелевин "Пространство Фридмана"