یکی از مدیران ESET در خبری که اخیرا در وبلاگ این شرکت منتشر شده گفت: ” این کشف بر مستندات منتشر شده در سال 2009 در خصوص نقص طراحی در UAC سیستم عامل های Windows صحه گذار است. در حقیقت بد افزار Win32/Syndicasec بدون هیچ تغییری در کدهای های مستندات سال 2009، از این کدها استفاده کرده است.”
این روش برای اجرای جزء مخرب دومی که بخشی از یک برنامه Javascript را در Windows Management Instrumentation ثبت می کند، استفاده می شود. WMI یکی از سرویس های پیش فرض Windows است که برنامه های نوشته شده توسط system administrators را اجرا می کند.
براساس این خبر سوء استفاده از WMI توسط بد افزارها پدیده جدیدی نیست اما از اتفاق های نادر است. این روش از ویژگی خاصی (به سود حمله کننده) برخوردار است که کدهای مخرب را به عنوان فایل های معمولی ذخیره می کند. به این ترتیب ابزارهای معمول شناسایی همچون Process Monitor در تشخیص فعالیت های مخرب موفق نمی شوند.
شایان ذکر است جاسوس افزار Stuxnet که پیشتر فعالیت های غنی سازی اورانیوم ایران در نطنز را مورد حمله قرار داده بود نیز از این روش استفاده کرده است.