Beveiligingsonderzoekers van het bedrijf Cybellum hebben recentelijk malware ontdekt die antivirussoftware inzet. De malware maakt gebruik van DoubleAgent: een techniek die antivirussoftware en andere software kan manipuleren. Volgens de onderzoekers kan de malware zelfs veranderingen aanbrengen in besturingssysteem Windows.
DoubleAgent maakt gebruik van een beveiligingslek in de Microsoft Application Verifier. Dit programma dient om fouten in Windows-software op te sporen. De onderzoekers lukte het om via de kwetsbaarheid software te veranderen.
Onbruikbaar
De antivirussoftware kan zo gemanipuleerd worden dat deze door kwaadwillenden vanaf een afstand uitgezet kan worden. Vanaf dat moment kan er malware worden geïnstalleerd zonder dat het slachtoffer hier iets van merkt. Het zou zelfs mogelijk zijn dat de malware dieper toegang tot een aangevallen computer krijgt, en deze zelfs volledig onbruikbaar maakt.
Protected Processes
Virusscanners van onder andere McAfee, Kaspersky, Norton en Avast zijn kwetsbaar voor deze technieken, aldus de beveiligingsonderzoekers. Softwareontwikkelaars kunnen Protected Processes in hun applicaties gebruiken om deze te beschermen tegen een dergelijke aanval. Ongesigneerde codes kunnen dan niet meer uitgevoerd worden binnen programma’s.