Malware-ul folosește o nouă tehnologie pentru a evita protecția kernel a sistemului de operare Windows
Uroburos a fost deja descris ca fiind foarte sofisticat și de mare complexitate în G Data Red Paper, document care a detaliat comportamentul malware al acestuia. Această ipoteză este susținută din nou, de data aceasta referitor la procesul de instalare. Uroburos folosește o tehnică nemaintâlnită până acum, pentru a ocoli Microsoft Driver Signature Enforcement, o parte esențială a securității sistemului de operare.
Majoritatea programelor rootkit folosesc, de regulă, modificări sau patch-uri de kernel pentru a-și ascunde activitățile și a modifica comportamentul sistemelor infectate. Microsoft a adăugat noi tehnologii la ediția pe 64 bit, respectiv tehnologia Kernel Patch Protection ce verifică integritatea kernelului pentru a se asigura că elemente importante rămân nemodificate. În cazul detectării unei modificări, este executată o funcție ce are ca rezultat închiderea sistemului prin afișarea unui ecran albastru.
Dezvoltatorii Uroburos au folosit aceleași metode pentru a face bypass protecției Kernel Patch, cu scopul de a evita executarea codului de bug și închiderea sistemului.
În același timp, creatorii Uroburos au utilizat o nouă tehnică pentru a dezactiva Driver Signature Enforcement, exploatând o vulnerabilitate a unui driver legitim. Doar că revocarea unei semnături este doar un prim pas, deoarece orice sistem care verifică o semnatură trebuie să aibă acces la datele CRL (Certificate Revocation List). Autorii Uroburos sunt cu siguranță îndeajuns de experimentați în a manipula procesul de verificare al sistemului de operare fără să-l alerteze pe utilizator.
Este prima dată când experții G Data întâlnesc aceste două tehnici de evitare a mecanismelor de protecție Windows și se așteaptă ca acestea să fie folosite și de alte programe malware în viitor.
