Virus WMI : Exécution sans disque réussie
Un projet de preuve de concept, Stuxnet, démontre un nouveau virus qui cache son code malveillant dans l'Instrumentation de gestion Windows (WMI), réussissant ainsi une exécution sans disque. Le virus utilise le WMI comme système de fichiers, en exploitant un script PowerShell au démarrage pour extraire et charger la charge utile en mémoire. Le projet inclut une technique d'escalade de privilèges nouvelle et des techniques d'évasion anti-AV avancées, telles que le chargement à la demande des bibliothèques système et la recherche dynamique des décalages de fonctions, lui permettant d'échapper à la détection par les principaux logiciels antivirus et bacs à sable. L'auteur suggère également des possibilités d'exploitation de failles dans l'espace noyau au sein du WMI.