Por que isso foi possível?
- O software estava sendo executado com privilégios de administrador
Por que o AV não pegou meu programa?
- Seu antivírus provavelmente não oferece suporte à detecção baseada em comportamento.
- O seu AV assumiu que não é um vírus de computador, porque eles querem se espalhar e não matar instantaneamente o Windows. Isso seria negligente porque:
- O malware é gravado no setor de inicialização agora e é uma forma muito popular de tornar a infecção persistente mesmo após a remoção bem-sucedida do sistema operacional, ele se reinstala em cada inicialização executando código armazenado no setor de inicialização muito antes do carregamento do Windows , alguns malwares avançados na verdade armazenam código adicional no segundo K do disco rígido, que atualmente não é usado por mais nada, e não é bem conhecido pela maioria. Como isso acontece sem ser sinalizado no Windows está sempre mudando. - Moab
Um SO não deveria dar algum tipo de aviso quando algum programa aleatório tenta escrever no setor de inicialização?
- Sim, deveria. Com uma janela pop-up grande no estilo UAC.
- Desde o Vista, os arquivos de sistema importantes só dão acesso de gravação ao TrustedInstaller por padrão. Claro, é possível assumir a propriedade, mas a conta de administrador padrão não pode modificá-los, ao contrário da raiz do Linux. Na verdade, o sistema, o equivalente a raiz em termos de permissões, não tem acesso de gravação. Se é possível modificar arquivos de sistema / binários com elevação normal (claro, precisando ler o sistema de arquivos NTFS de alguma forma), então isso pode ser visto como uma falha de segurança ... - Bob