Vírus WMI: Execução sem disco alcançada
2025-01-29
Um projeto de prova de conceito, Stuxnet, demonstra um novo vírus que oculta seu código malicioso na Instrumentação de Gerenciamento do Windows (WMI), alcançando a execução sem disco. O vírus usa o WMI como um sistema de arquivos, aproveitando um script PowerShell na inicialização para extrair e carregar a carga útil na memória. O projeto inclui uma técnica de elevação de privilégios inovadora e técnicas avançadas de evasão anti-AV, como o carregamento de bibliotecas de sistema sob demanda e a localização de deslocamentos de função dinâmica, permitindo que ele evite a detecção por softwares antivírus e caixas de areia principais. O autor também sugere possibilidades de exploração de espaço do kernel dentro do WMI.
Desenvolvimento
evasão antivírus