He estado leyendo Symantec & Análisis de Kaspersky Labs del malware Regin.
Según Symantec
[Etapa 2] también puede ocultar instancias en ejecución de la Etapa 1. Una vez que esto sucede, no quedan artefactos de código visibles.
Según tengo entendido, la Etapa 1 se implementa como un Controlador de Windows, y no existe una forma segura de descargar un Controlador de Windows sin requerir un reinicio (incluso si la Etapa 2 en sí es otro controlador del núcleo).
Del mismo modo, por lo que puedo decir, no existe ninguna forma (ni debería existir) de interceptar y manipular la lista de controladores de Kernel en ejecución, como podría ser un rootkit para un archivo en el sistema de archivos.
Entonces, ¿cómo oculta la Etapa 2 las instancias en ejecución de la Etapa 1? Parece que hay poca información sobre esto en línea?
Fuente: enlace - Página 9