Para peneliti telah menemukan cara hacking untuk lolos dari proteksi yang dibuat oleh lusinan product antivirus desktop popular, termasuk yang ditawarkan oleh McAfee, Trend Micro, AVG, dan BitDefender. Metode tersebut dikembangkan oleh para peneliti keamanan di matousec.com, yang bekerja dengan mengeksploitasi program antivirus yang ada di system operasi Windows. Singkatnya, metode tersebut bekerja dengan mengirimkan sample code yang melewati pemeriksaan keamanan mereka dan kemudian, sebelum kode itu dieksekusi, tukar dengan payload berbahaya.
Eskploitasi program antivirus tersebut harus menunggu waktu yang tepat sehingga kode tersebut tidak tertukar terlalu cepat atau terlambat. Namun, untuk system yang bekerja di processor multicore, ‘serangan’ matousec ini dapat terjadi karena satu ancaman dapat membuat task lain yang dijalankan bersamaan, menjadi tidak bisa dijalankan. Sebagai hasilnya, proteksi malware yang ditawarkan untuk PC Windows dapat dikelabui dengan membiarkan kode berbahaya bekerja, dimana biasanya ketika di bawah kondisi normal, kode berbahaya akan diblock oleh antivirus.
Metode yang dijalankan oleh matousec menggunakan software AV, seperti SSDT, atau System Service Descriptor Table untuk memodifikasi bagian dari kernel system operasi, digabungkan dengan kelemahan Adobe Reader atau Oracle Java Virtual Machine untuk meng-instal malware tanpa diketahui oleh software antivirus manapun ketika user menggunakan PC yang menjadi korbannya. Matousec mencatat ada setidaknya 34 product keamanan yang berpotensi terkena serangan ini.
Eskploitasi program antivirus tersebut harus menunggu waktu yang tepat sehingga kode tersebut tidak tertukar terlalu cepat atau terlambat. Namun, untuk system yang bekerja di processor multicore, ‘serangan’ matousec ini dapat terjadi karena satu ancaman dapat membuat task lain yang dijalankan bersamaan, menjadi tidak bisa dijalankan. Sebagai hasilnya, proteksi malware yang ditawarkan untuk PC Windows dapat dikelabui dengan membiarkan kode berbahaya bekerja, dimana biasanya ketika di bawah kondisi normal, kode berbahaya akan diblock oleh antivirus.
Metode yang dijalankan oleh matousec menggunakan software AV, seperti SSDT, atau System Service Descriptor Table untuk memodifikasi bagian dari kernel system operasi, digabungkan dengan kelemahan Adobe Reader atau Oracle Java Virtual Machine untuk meng-instal malware tanpa diketahui oleh software antivirus manapun ketika user menggunakan PC yang menjadi korbannya. Matousec mencatat ada setidaknya 34 product keamanan yang berpotensi terkena serangan ini.
