Mais uma técnica interessante para enganar o anti-vírus, o método consiste em motivar o usuário a clicar em um simples programa que faz download de um html da internet.
Até este ponto, o anti-vírus não pode fazer nada, porque esta operação não é nem um pouco suspeita ! fazer um download não é algo suspeito, e “puxar” um html de um servidor remoto também não é uma operação suspeita.
Mas neste caso, o HTML traz consigo um “SellCode”, este shellcode está inserido no HTML que foi feito download, então o programa que fez o download do HTML insere o ShellCode na memória e o executa, após isto o ShellCode faz Exploit em área vulneráveis do computador, e pode tomar conta até do Anti-Vírus instalado no PC.
Observando o comportamento desta invasão, que tipo de sistema poderia detectar o maldito ShellCode ? o shellcode poderia estar inserido na base de vacinas do Anti-Vírus como um programa nocivo ? como o sistema Heurístico poderia detectar esta operação ? boa pergunta !
Normalmente, nas infecções convencionais, um programa malicioso é lido e depois executado, isto é muitos simples de ser detectado pelo Anti-Vírus, basta ele ter o programa nocivo na base de assinatura de vírus … mas quando é um shellcode, as vezes uns 100 bytes de código assembly no máximo … como detectar isto.