Virus WMI: Ejecución sin disco conseguida
Un proyecto de prueba de concepto, Stuxnet, demuestra un nuevo virus que oculta su código malicioso dentro de la Instrumentación de Administración de Windows (WMI), logrando la ejecución sin disco. El virus usa WMI como un sistema de archivos, aprovechando un script de PowerShell en el arranque para extraer y cargar la carga útil en la memoria. El proyecto incluye una técnica novedosa de escalada de privilegios y técnicas avanzadas de evasión anti-AV, como la carga de bibliotecas del sistema a demanda y la búsqueda de offsets de funciones dinámicas, lo que le permite evadir la detección por parte de los principales softwares antivirus y entornos de pruebas. El autor también insinúa posibles vulnerabilidades de explotación del espacio del kernel dentro de WMI.