mmm... interesante.. evidentemente tiene que haber un propósito para inyectar una dll,, no creo que sea coincidencia que lo hagan varios antivirus,, probablemente esa dll pueda resolver mejor que es lo que esta haciendo el ejecutable en todo momento, no se, se me ocurre por estar inyectada en el mismo ejecutable.. Hay algo que nunca entendí, no es posible "atacar" al mismo antivirus y desactivar algún modulo? Por ejemplo la inyección? Claro, eso debería ser en Ring0.. pero se tiene que poder, no?
Supongamos este proceso:
1) Archivo Malo.exe analiza el SO y el AV instalados..
2) Malo.exe procede a descargar un modulo de kernel acorde al SO y al AV desde un servidor X
3) Malo.exe ahora instala los módulos de kernel necesarios (Rootkits podríamos decir)
4) Malo.exe descarga otro archivo, "Malo2.exe", este archivo queda oculto por el/los Rootkits antes instalado.
5) Malo.exe se elimina, o queda a la espera de una nueva victima.. (Como guste mas)
Bueno, si Malo.exe es indetectado, lo demás es mas sencillo,, dedicarle tiempo a los módulos de kernel, hacer uno por SO y AV posibles (de los mas usados, claro)
Que les parece?