По време на хакерската конференция Syscan 360 в Пекин, представителят на сингапурската компания за информационна безопасност COSEINC Хошеан Корет (Joxean Koret) показа презентация за проникване и разбиване на антивирусни програми.
Главната идея на презентацията е следната: инсталирайки антивирусна програма на своя компютър, потребителят го прави още по-уязвим, понеже се добавя допълнителна мишена за атаки. Оказа се, че антивирусните програми наистина защитават системата от някои по-стари вируси, но при това откриват широк път за нови вируси, които използват дупките в сигурността на енджините в антивирусните програми.
Авторът обяснява този факт с това, че самите енджини на антивирусите са написани на небезопасни програмни езици. Почти всички са написани на C и/или C++ с малки изключения, като например MalwareBytes на VB6. Както и при другите програми, така и тук могат да бъдат използвани препълването на буфера, форматите на редовете, целочисленото препълване и други.
Има и примери. Според Хошеан, най много бъгове има румънската BitDefender, допускаща локална и отдалечена промяна на кода. Отличена е и Kaspersky AV, при която ключовите модули модули avzkrnl.dll и vlns.kdl не използват ASLR защита. "Всеки може без особени усилия да напише надежден експлойт за тази програма" - твърди Корет. Интересен е и DrWeb, който по-рано се е обновявал по HTTP без използване на SSL/TLS кодиране.Авторът дори предлага няколко интересни елементарни атаки за проверка на антивирусни програми, които постигат излизане от защитения режим (ASLR), като например използване на два вложени един в друг файлове в архив - първият заставя антивируса да стартира емулатора, а вторият е експлойт. Някои вируси при разопаковане на малки архиви създават временни файлове с размер 32 GB - идеален случай за използване на "Отказ на услуга".Специалистът от Сингапур явно е много скептично настроен към антивирусните програми.