Ataque foi eficiente contra 34 antivírus testados



Um novo método para burlar a proteção dos softwares antivírus foi descoberto por uma empresa de segurança e pode ser usado contra a grande maioria dos antivírus disponíveis atualmente para Windows.

Descoberto pela empresa de segurança Matousec, o novo método faz uso da incapacidade que os sistemas multicore têm de monitorar efetivamente as threads em execução nos outros núcleos de processamento.

A ideia por trás do ataque é simples de descrever, mas sua execução é bem complexa: ao enviar um trecho de código “inocente” para ser verificado, é possível receber uma validação do antivírus; uma vez que o código foi validado para execução, existe um pequeno espaço onde é possível substituir o código “inocente” por um malware – que então é executado sem precisar ser verificado pelo antivírus.

De acordo com a equipe da Matousec, esta técnica – que se baseia no fato dos softwares antivírus utilizarem os hooks System Service Descriptor Table (SSDT) no Windows para ter acesso a certas partes do kernel do Windows* - foi bem sucedido em 100% dos produtos testados.