Investigadores de Trellix han descubierto un curioso comportamiento en un malware (kill-floor.exe). En concreto, que el malware porta un driver del antivirus AVAST (aswArPot.sys) y lo usa para, precisamente, desactivar procesos pertenecientes a aplicaciones defensivas y soluciones de seguridad.
Gracias a la firma digital de este driver, cuya función legítima es otorgar capacidades anti-rootkit en el sistema, es usado como «puente» para realizar operaciones a través de él. Inicialmente, es introducido en el sistema con el nombre: «ntfs.bin». Posteriormente, el malware instala el driver a través del Service Control de Windows, creando un servicio con mismo nombre del driver: «aswArPot.sys». Al ser un driver que opera a nivel del kernel de Windows, posee un amplio espectro de funciones con altos privilegios.
Aunque no es muy habitual, no es la primera vez que un malware usa esta ingeniosa técnica de valerse de un driver firmado como vía para acceder a llamadas con privilegios y pasar así por debajo del radar.