По словам исследователей Якуба Бречки и Давида Матушека из команды веб-ресурса Matousek.com, им удалось создать способ обхода защиты, встроенной в большинство популярных настольных антивирусных продуктов. Уязвимы продукты «Лаборатории Касперского», Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda и т. д. Методика такова: на вход антивируса посылается безвредный код, проходящий все защитные барьеры, но, прежде чем он начнет исполняться, производится его подмена на вредоносную составляющую. Понятно, замена должна произойти строго в нужный момент, но на практике всё упрощается благодаря тому, что современные системы располагают многоядерным окружением, когда один поток не в состоянии отследить действия параллельных потоков. В итоге может быть обманут буквально любой Windows-антивирус. Руткит функционирует в том случае, если антивирусное ПО использует таблицу дескрипторов системных служб (System Service Descriptor Table, SSDT) для внесения изменений в участки ядра операционной системы. Поскольку большинство антивирусов работают на уровне ядра, атака работает на 100%, причем даже в том случае, если Windows запущена под учётной записью с ограниченными полномочиями. Вместе с тем руткит требует загрузки большого объёма кода на атакуемую машину, поэтому он не применим, когда требуется сохранить скорость и незаметность атаки. Кроме того, злоумышленник должен располагать возможностью выполнения двоичного файла на целевом компьютере. Поэтому, описанную методику реализовать на практике достаточно сложно, так как для ее проведения на компьютере с антивирусом уже должен быть установлен программный комплекс реализующий эту методику. Комбинирование этой методики с уязвимостями в защите каких-либо приложений бессмысленно, так как, если антивирус позволил использовать уязвимость, то и обходить его нет необходимости. Единственное, на что может быть направлена эта методика, так это на обращение внимания специалистов к проблеме работы антивирусов на уровне ядра ОС.
Источник
Описание методики