マルウェアが検知されて止められないように、様々な手法でマルウェア対策ソフトの検知を回避しようとする。
脆弱な仕組みを見つけたり、変更しにくい仕様上の問題を巧みに組み合わせるのも多く聞くだろうが、ここでの話は単純なこと。
ただ、自分を除外設定するだけ。
除外設定ボタンを出す!ボタンを押す!
この事例は個人向けのAvast製品に対するもの。
なんだかんだで、管理者権限を取得して管理画面を出して除外設定をする。
やっていること、
1.「Avast Free Antivirus」のウインドウを探す
2.マルウェアを検知させる
3.Avastのウインドウを最前面に表示
4.マウスクリックをシュミレート
5.(370, 270)にある「MORE OPTIONS」というドロップダウンのボタンを押す
6.(366, 326)に出てきた「Create exception」を押す
7.除外一覧に追加されたことを確認
という感じでアナログ的にマルウェア検知回避?(笑)
おそらく、コマンドラインだけでマルウェアの除外設定ができない?、もしくは見つからなかったのでやっているのだろうが。EDRとかは無縁ですね。
個人向け製品なら今後も流用あり得るか?
普通に考えて意味ない
突然画面にマルウェア検知画面出てきて、自動的に除外設定されたらおかしくね?
これを頑張るなら、AV回避専用のオープンソースツールをうまく組み合わせた方が、圧倒的に汎用性と効果があっただろうなぁ。
