En la página de Wikipedia podemos leer que la vulnerabilidad "Windows FAX DLL injection" permitiría a un usuario con intenciones maliciosas. para ocultar su propio malware bajo la DLL de otra aplicación.
¿Cómo funciona exactamente? ¿Los antivirus populares detectan con éxito este tipo de inyecciones DLL de este tipo?
Puede encontrar la información en la página Wikileaks .
Este es un simple ataque de secuestro de DLL que hemos probado con éxito contra Windows XP, Vista y 7. Un DLL llamado fxsst.dll normalmente reside en \ Windows \ System32 y se carga con explorer.exe. Al colocar una nueva DLL con este nombre en \ Windows, esto se carga en el explorador en lugar de la DLL original. En Windows Vista y superior, el recuento de referencia de DLL debe aumentarse llamando a LoadLibrary en sí mismo para evitar la descarga.
Esto logra persistencia, sigilo y (en algunos casos) evitación de PSP.
Básicamente:
El archivo original se encuentra en C:\Windows\System32\fxsst.dll (maneja el protocolo de fax T.30), pero si coloca otra DLL llamada fxsst.dll en C:\WINDOWS , esta se cargará en su lugar.
Desde Vista y superiores, necesita derechos de administrador para instalar la DLL y debe llamar a LoadLibrary en su propia DLL Loadlibrary("C:\WINDOWS\fxsst.dll") para aumentar el recuento de referencia o se descargará con FreeLibrary.