Stevens deed zijn ontdekking vorige week. Vijftien van de 32 pakketten op VirusTotal, waaronder Symantec en Panda, herkenden zijn testscript niet als schadelijk. Hoe meer null-bytes hij toevoegde, des te minder programma’s de code detecteerden.

De grens lag voor de scanners op 254 null-bytes. Eén byte meer en ook McAfee ziet de code niet meer. IE voert het script dan wel gewoon uit. Bij de comments meldt Stevens dat Firefox met een script met twee of meer null-bytes achter elkaar tegen renderingproblemen aanloopt.

Het trucje is oud en bekend, maar niet voldoende opgepakt, is de conclusie. Wel voegt Stevens eraan toe dat de meeste moderne anti-viruspakketten niet alleen scannen, maar ook scripts testen als deze wordt uitgevoerd. “Je kunt niet alleen aan op VirusTotal resultaten”, schrijft Stevens.

Bron: Techworld