Вредоносное ПО обходит AMSI При этом, проблема связана не только с Защитником Windows, но и с антивирусными сканерами сторонних разработчиков. Пользователям Windows 10 рекомендуется незамедлительно установить обновление системы безопасности, предоставляемое компанией Microsoft.
Anti-Malware Scan Interface (AMSI) в Windows 10 — это интерфейс, через который антивирусные сканеры проверяют файлы на возможное наличие «вредителей». Именно в нем эксперт в области кибер-безопасности Сатоши Танда (Satoshi Tanda) обнаружил баг, позволяющий вирусам с помощью простого трюка «поставить галочку» положительного результата проверки на безопасность.
Если в PowerShell-скрипте поставить так называемый «нулевой» символ, AMSI думает, что файл закончился, и прекращает сканирование. Таким образом, вредоносное ПО можно скрыть за этим нулевым символом, чтобы оно могло работать незаметно для антивирусного сканера.
Ошибка в AMSI затрагивает не только Защитника Windows, но и все антивирусные сканеры, ведь через этот интерфейс к Windows «подключается», собственно говоря, и аналогичное программное обеспечение от сторонних разработчиков. Так как AMSI буквально «отрезает» содержимое скриптов после нулевого символа, у антивирусного ПО попросту нет шансов обнаружить ПО вредоносное. По оценкам Танда, установки обновления Windows будет достаточно для решения проблемы.
Тем не менее, вполне возможно, что и разработчикам антивирусов придется произвести апдейт. Таким образом, пользователям следует проверить актуальность версии своего антивирусного сканера.
При этом, проблема связана не только с Защитником Windows, но и с антивирусными сканерами сторонних разработчиков. Пользователям Windows 10 рекомендуется незамедлительно установить обновление системы безопасности, предоставляемое компанией Microsoft.
Так как AMSI буквально «отрезает» содержимое скриптов после нулевого символа, у антивирусного ПО попросту нет шансов обнаружить ПО вредоносное. По оценкам Танда, установки обновления Windows будет достаточно для решения проблемы.