Удалось создать метод обхода защиты, встроенной в большинство популярных антивирусных продуктов.

Об этом заявили ученые Якуб Бречка и Давид Матушек из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы такие популярные продукты, как «Лаборатории Касперского», «Dr.Web», «Avast!», «Sophos», ESET, «McAffee», «Symantec», «Panda» и т. д.

Методика такова: на вход антивируса посылается безобидный код, проходящий все защитные барьеры, однако, до того как он начнет исполняться, производится его подмена на вредоносную составляющую. Ясно, замена обязана произойти строго в необходимый миг, однако на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда 1 поток не в состоянии проследить действия параллельных потоков. В результате может оказаться обманут фактически каждый Windows-антивирус.

Эксплойт работает в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Так как все современные средства защиты оперируют на уровне ядра, атака работает на 100%, при этом даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями.

При этом эксплойт требует загрузки крупного объёма кода на атакуемую машину, по этой причине он не применим, когда требуется сохранить скорость и незаметность атаки. Более того, злоумышленник должен располагать возможностью исполнения двоичного файла на целевом компьютере.

Методика может оказаться скомбинирована с классической атакой на уязвимую версию Acrobat Reader или Sun Java Virtual Machine, не пробуждая подозрений у антивируса в истинности намерений. Ну а после хакер свободен и вовсе изничтожить все защитные барьеры, целиком удалив из системы мешающий антивирус.