安全研究人员发现，攻击者可以使用Microsoft的Application Verifier工具来接管各种防病毒产品。 总部位于以色列的安全公司Cybellum声称，一种称为DoubleAgent的新攻击方法利用了为防止病毒攻击而创建的Windows工具，这些工具包括McAfee，Panda，Avast，AVG，Avira，F-Secure，Kaspersky，Malwarebytes，Bitdefender，趋势科技，Comodo以及ESET –并使其充当恶意软件。

Cybellum说，DoubleAgent攻击还能够破坏其他防病毒产品。 该方法通过操纵Microsoft Application Verifier（一种运行时验证系统）来运行，该系统的功能是检测错误并增强第三方Windows程序的安全性。 该工具包含在Windows XP到Windows 10中。

DoubleAgent如何运作

Cybellum解释了DoubleAgent的工作方式：

我们的研究人员发现了Application Verifier的一个未记录的功能，该功能使攻击者能够用自己的自定义验证程序替换标准验证程序。 攻击者可以使用此功能，以将自定义验证程序注入任何应用程序。 注入自定义验证程序后，攻击者现在可以完全控制该应用程序。 创建Application Verifier的目的是通过发现和修复错误来增强应用程序的安全性，具有讽刺意味的是DoubleAgent使用此功能来执行恶意操作。

问题不在于Windows，而在于提供防病毒产品的安全厂商。 Cybellum声称DoubleAgent可用于攻击使用易受感染的防病毒程序的组织。 Malwarebytes，AVG和趋势科技是一些修复了各自产品问题的供应商。 Windows Defender似乎是唯一不受DoubleAgent影响的防病毒产品，因为它使用了一种称为“受保护的进程”的Windows机制。 该机制可保护在用户模式下运行的反恶意软件服务。

减轻

Microsoft提供了“受保护的进程”，以作为允许信任的，经过签名的代码加载的一种方式。 因此，即使攻击者找到了一种新的零日技术作为其代码，攻击者也无法将DoubleAgent用于防病毒。 现在，Cybellum可以在GitHub上获得概念验证攻击代码。