Jakub Břečka oraz David Matoušek z zespołu Matousek.com znaleźli sposób na ominięcie zabezpieczeń wbudowanych w najpopularniejsze programy antywirusowe. Są nimi produkty Kaspersky Lab, Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda, itd.

Metoda jest następująca: wysyłamy szkodliwy kod, który przekracza wszelkie bariery ochronne, ale zanim zacznie działać, zastępuje określone elementy. Oczywistym jest, że wymiana powinna nastąpić tylko w określonym czasie. Zadania ułatwia fakt, że w nowoczesnym systemie wielordzeniowym, gdzie działa środowisko ochronne, jeden wątek nie jest w stanie śledzić co robi drugi, równoległy wątek. W wyniku tego może polec dosłownie każdy antywirus.

Rootkit używa tabeli obsługi usług systemowych (System Service Descriptor Table, SSDT) do wprowadzania zmian w zakresie jądra systemu operacyjnego. Ponieważ wszystkie urządzenia ochronne działają na poziomie jądra, to atak działa w 100%, nawet jeśli system działa na koncie użytkownika z ograniczeniami.

Jednak sam rootkit wymaga pobierania dość dużej ilości danych na komputer docelowy, więc nie działa on w ukryciu i nie należy do szybkich. Ponadto osoba atakująca musi mieć dostęp do możliwości wykonywania kodu binarnego na atakowanym systemie.

Ponadto, stosując go z tradycyjnym atakiem na luki przykładowo w Acrobat Reader, całkowicie atakujący jest w stanie ukryć swoje prawdziwe intencje.

Źródło: compulenta