Jakub B�e�ka oraz David Matou�ek z zespo�u Matousek.com znale�li spos�b na omini�cie zabezpiecze� wbudowanych w najpopularniejsze programy antywirusowe. S� nimi produkty Kaspersky Lab, Dr.Web, Avast!, Sophos, ESET, McAffee, Symantec, Panda, itd.

Metoda jest nast�puj�ca: wysy�amy szkodliwy kod, kt�ry przekracza wszelkie bariery ochronne, ale zanim zacznie dzia�a�, zast�puje okre�lone elementy. Oczywistym jest, �e wymiana powinna nast�pi� tylko w okre�lonym czasie. Zadania u�atwia fakt, �e w nowoczesnym systemie wielordzeniowym, gdzie dzia�a �rodowisko ochronne, jeden w�tek nie jest w stanie �ledzi� co robi drugi, r�wnoleg�y w�tek. W wyniku tego mo�e polec dos�ownie ka�dy antywirus.

Rootkit u�ywa tabeli obs�ugi us�ug systemowych (System Service Descriptor Table, SSDT) do wprowadzania zmian w zakresie j�dra systemu operacyjnego. Poniewa� wszystkie urz�dzenia ochronne dzia�aj� na poziomie j�dra, to atak dzia�a w 100%, nawet je�li system dzia�a na koncie u�ytkownika z ograniczeniami.

Jednak sam rootkit wymaga pobierania do�� du�ej ilo�ci danych na komputer docelowy, wi�c nie dzia�a on w ukryciu i nie nale�y do szybkich. Ponadto osoba atakuj�ca musi mie� dost�p do mo�liwo�ci wykonywania kodu binarnego na atakowanym systemie.

Ponadto, stosuj�c go z tradycyjnym atakiem na luki przyk�adowo w Acrobat Reader, ca�kowicie atakuj�cy jest w stanie ukry� swoje prawdziwe intencje.

�r�d�o: compulenta