Alcuni ricercatori hanno dimostrato che la maggior parte degli antivirus per Windows sono facilmente aggirabili dagli hacker. Tra i prodotti vulnerabili McAfee, Norton, F-Secure, Trend Micro, AVGe, BitDefender e molti altri.
I ricercatori hanno inviato un campione di codice benigno che passa i controlli di sicurezza degli antivirus e incomincia a essere eseguito. A brevissima distanza, però, il codice comincia a eseguire un’altra operazione che modifica i parametri della prima, trasformandola in un’azione nociva senza che il sistema intervenga.
Com’è possibile tutto questo? La tattica funziona perché inganna lo scheduler, ovvero il componente del sistema operativo che stabilisce quali processi tengono occupato il processore e per quanto tempo. Infatti se l’operazione è suddivisa in più filoni, o thread, quando un filone è in esecuzione, il sistema non è in grado di controllare quello che comincia subito dopo. Il segreto sta tutto nel trovare l’esatto momento in cui far partire l’azione nociva, né troppo presto né troppo tardi.
In questo modo è possibile non solo aggirare la maggior parte delle protezioni nei PC Windows, ma addirittura disinstallare l’antivirus.
Il metodo funziona anche quando l’utente non ha i privilegi di amministratore, e può essere associato a un exploit di una versione vulnerabile di Adobe o di Java Virtual Machine. In pratica, con questo sistema, le difese dei PC Windows si rivelano inutili nel 100% dei casi.
Ecco l’elenco completo degli antivirus che si sono rivelati vulnerabili ai test. I ricercatori precisano che la lista potrebbe includere anche altre versioni degli stessi software:
- 3D EQSecure Professional Edition 4.2
- avast! Internet Security 5.0.462
- AVG Internet Security 9.0.791
- Avira Premium Security Suite 10.0.0.536
- BitDefender Total Security 2010 13.0.20.347
- Blink Professional 4.6.1
- CA Internet Security Suite Plus 2010 6.0.0.272
- Comodo Internet Security Free 4.0.138377.779
- DefenseWall Personal Firewall 3.00
- Dr.Web Security Space Pro 6.0.0.03100
- ESET Smart Security 4.2.35.3
- F-Secure Internet Security 2010 10.00 build 246
- G DATA TotalCare 2010
- Kaspersky Internet Security 2010 9.0.0.736
- KingSoft Personal Firewall 9 Plus 2009.05.07.70
- Malware Defender 2.6.0
- McAfee Total Protection 2010 10.0.580
- Norman Security Suite PRO 8.0
- Norton Internet Security 2010 17.5.0.127
- Online Armor Premium 4.0.0.35
- Online Solutions Security Suite 1.5.14905.0
- Outpost Security Suite Pro 6.7.3.3063.452.0726
- Outpost Security Suite Pro 7.0.3330.505.1221 BETA VERSION
- Panda Internet Security 2010 15.01.00
- PC Tools Firewall Plus 6.0.0.88
- PrivateFirewall 7.0.20.37
- Security Shield 2010 13.0.16.313
- Sophos Endpoint Security and Control 9.0.5
- ThreatFire 4.7.0.17
- Trend Micro Internet Security Pro 2010 17.50.1647.0000
- Vba32 Personal 3.12.12.4
- VIPRE Antivirus Premium 4.0.3272
- VirusBuster Internet Security Suite 3.2
- Webroot Internet Security Essentials 6.1.0.145
- ZoneAlarm Extreme Security 9.1.507.000
Ciao Fabio, puoi per cortesia mettere un link dove trovare maggiori informazioni sul lavoro svolto dai ricercatori? Grazie!
Noto che nella lista non compare Microsoft Security Essentials. Non è stato testato o è stato capace di fermare la minaccia?
Ci sono antivirus invulnerabuli a questi attachi?