De nieuwe malware werd ontdekt door beveiligingsonderzoekers van Cybellum. Door een techniek genaamd DoubleAgent te gebruiken, kan de antivirussoftware worden aangepast. Andere software kan op vergelijkbare wijze worden veranderd. De onderzoekers stellen dat zelfs Windows kwetsbaar is.
DoubleAgent gebruikt een kwetsbaarheid in de Microsoft Application Verifier. Deze software wordt normaal gesproken gebruikt om fouten in Windows-programma’s te ontdekken. De beveiligingsonderzoekers slaagden er echter in om hiermee software naar eigen smaak te veranderen.
Door antivirussoftware aan te passen, zou een aanvaller deze op afstand kunnen uitschakelen. Hierdoor kan er vervolgens malware worden geïnstalleerd zonder dat het slachtoffer iets doorheeft.
Omdat de overgenomen software toegang heeft tot computersystemen, zou het ook mogelijk zijn om malware diepere toegang tot het systeem te geven. Hierdoor kan de antivirussoftware een aanval bevorderen. Daarnaast kan de computer onbruikbaar worden gemaakt.
Antivirusbedrijven
Volgens de onderzoekers zijn virusscanners van onder andere McAfee, Kaspersky, Norton en Avast kwetsbaar voor de aanvalstechniek. Antivirusbedrijf Malwarebytes zou zijn software inmiddels hier tegen hebben beveiligd. Trend-Micro belooft binnenkort een update uit te brengen.
Softwaremakers zouden zich tegen de aanval kunnen weren door ‘Protected Processes’ in hun applicaties te gebruiken. Bij dit proces wordt het onmogelijk gemaakt om ongesigneerde code af te spelen binnen programma’s.