Een ongedocumenteerde instructie in de Floating Point Unit (FPU) van processoren wordt door malwaremakers gebruikt om een backdoor voor anti-virusbedrijven en beveiligingsonderzoekers te verstoppen. Onderzoekers van Microsoft liepen tegen een malware-exemplaar aan dat ze in eerste instantie niet konden analyseren omdat de analysetools steeds crashten.
De code van de malware bevatte volgens de documentatie van Intel ongeldige instructies, waardoor een applicatie meteen zou crashen zodra ze werden uitgevoerd. De malware bleek op verschillende systemen echter prima te werken.
Documentatie
Verder onderzoek wees uit dat de malware een aantal ongedocumenteerde FPU-instructies gebruikte, waar de analysetools niet mee overweg konden. De FPU is het gedeelte van een processor dat berekeningen met zwevende kommagetallen (floating point numbers) kan uitvoeren, zoals optellen, aftrekken, vermenigvuldigen, delen en worteltrekken.
De 'instructie-truc' zoals Microsoft het noemt, werd voor het eerst dit jaar door een andere backdoor toegepast en sindsdien ook door een Trojaans paard. Aangezien deze techniek niet op ondergrondse fora wordt besproken en het aantal malware-exemplaren dat de truc gebruikt zeer klein is, bestaat de mogelijkheid dat de families aan elkaar gerelateerd zijn of dat de makers informatie met elkaar uitwisselen.
"Een ding is zeker, malwaremakers blijven worstelen om detectie te omzeilen", zegt Daniel Radu van het Microsoft Malware Protection Center.
Deze posting is gelocked. Reageren is niet meer mogelijk.