Нулевой символ позволяет обойти защиту AMSI в Windows 10

Баг в Anti-Malware Scan Interface (AMSI) компании Microsoft позволяет вредоносному программному обеспечению незаметно обходить установленный на компьютере антивирусный сканер.

Вредоносное ПО обходит AMSI

При этом, проблема связана не только с Защитником Windows, но и с антивирусными сканерами сторонних разработчиков. Пользователям Windows 10 рекомендуется незамедлительно установить обновление системы безопасности, предоставляемое компанией Microsoft.

Anti-Malware Scan Interface (AMSI) в Windows 10 — это интерфейс, через который антивирусные сканеры проверяют файлы на возможное наличие «вредителей». Именно в нем эксперт в области кибер-безопасности Сатоши Танда (Satoshi Tanda) обнаружил баг, позволяющий вирусам с помощью простого трюка «поставить галочку» положительного результата проверки на безопасность.

Если в PowerShell-скрипте поставить так называемый «нулевой» символ, AMSI думает, что файл закончился, и прекращает сканирование. Таким образом, вредоносное ПО можно скрыть за этим нулевым символом, чтобы оно могло работать незаметно для антивирусного сканера.

В рамках февральского обновления компания Microsoft уже подготовила подходящий патч сиcтем безопасности для Windows 10, который закрывает уязвимость.