madlex

@Autor: fara suparare pentru urmatorul post, incerc doar sa fiu sincer. Daca e un exploit ar fi ok sa respectam si terminologia din domeniu: sub nici o forma POC-ul de mai sus nu este un virus, ci un malware oarecare care se doreste a fi troian in viitor. Un virus este un tip de malware care se auto-propaga (pe disk, in binare sau in RAM). Trecand peste asta, orice AV de cand lumea are conceptul de 'semnatura' statica prin care identifica un malware si il blocheaza. Dupa ce tu termini POC-ul si dai jos toate AV-urile dintr-un foc, o data iesit in 'lume' toate AV-urile vor pune semnatura pe tine o data ce esti raportat de catre clientii lor. Si pa, esti in categoria "yet another piece of trojan". Sau poate creatorul acestui malware se bazeaza pe faptul ca utilizatorul nu va observa ca .. i-a disparut AV-ul pentru care a platit licenta. Daca POC-ul de mai sus foloseste driver esti intr-o oarecare dificultate pe X64 unde iti trebuie semnatura digitala. Multi au trecut deja pe x64, iar probabil pentru ei vei fi inofensiv cu AV sau fara. Sunt mai multi malware care targeteaza AV-urile si o fac intr-un mod mult mai inteligent si nedetectabil. Sa faci un driver care sterge chei de CCST nu este tocmai 'rocket science'.