AV maker denies allegation, says researcher is ‘looking for attention’
The Register – Independent news and views for the tech community. Part of Situation Publishing
トレンドのカーネルレベルのコードで書かれたドライバーMysteriousCheck()という名前の関数は、特定のMicrosoftテストスイート(ドライバー検証ツール / Driver Verifier)が実行されているかどうかを検出するように見える。
なお、このテストスイートで、ドライバーがMicrosoftのWindows Hardware Quality Labs(WHQL)要件を確実に満たすように設計されている。ドライバーがこの基準を満たす場合はMicrosoftによってデジタル署名され、Windows Updateおよび同様の仕組みを介して配布される可能性がある。
具体的にMicrosoftのテストに合格するには、ソフトウェアのセキュリティ対策として、非実行非ページプール(別名NonPagedPoolNx)からメモリを割り当てる必要がある。よってMicrosoftのテスト対象のコンピューターでトレンドのドライバーが実行されている場合は、ソフトウェアはその動作を変更して、想定どおりの非実行非ページプールを使用する。だがテストが実行されていない場合、実行可能な非ページプールからメモリを割り当てている。
つまり悪意のあるユーザーやマルウェアがオペレーティングシステムの実行可能な非ページプールに悪意のあるコードを隠すため、これらは悪用される可能性がある。
