Исследователи из EnSilo объявили, что нашли баг в ядре Винды, да какой! Он может не позволить антивирусу узнать о загрузке исполняемого файла. Эксплуатация такой дыры напрочь исключает возможность проверки файла при запуске, то есть троянец может фактически обезвредить защитное решение.
Глюк был найден в PsSetLoadImageNotifyRoutine – функции уведомления, которая вызывается в момент загрузки виртуального образа. Без ее корректной работы контролировать запуск PE-файлов затруднительно, но именно там разработчики Microsoft оставили баг, из-за которого В ОПРЕДЕЛЕННЫХ УСЛОВИЯХ вредоносный файл может быть запущен незаметно для всех, кому это может быть интересно.
Читать полностью »