Avira

攻击者可以将正常的Avira可执行文件与恶意DLL植入C:\ProgramData\Avira\VPN\Update目录中,诱导服务执行更新文件。更新过程中存在DLL劫持问题,最终攻击者能够以SYSTEM权限执行代码。
当用户安装最新版Avira反病毒软件时,也会附加安装一些组件,某服务没有对调用客户端执行有效的校验操作,也没有检查启动程序的有效性,导致恶意代码可以向Avira.OptimizerHost.exe发起进程创建调用请求,实现本地权限提升。