Грешка позволява на вирусите да заразят компютрите с Windows

Екип от изследователи откриха нова техника, чрез която зловредният софтуер може да заобиколи антивирусните контроли и да влезе в компютри с Windows. По този начин, успявайки да зарази въпросния компютър. Той е обозначен като Doppelgänging процес и е нова техника, която се възползва от функцията на Windows и зареждащия процес.

Сривът позволява на вирусите да заразят компютрите с Windows

Изследователите са представили своите открития на конференцията за сигурност на Black Hat 2017. Този процес изглежда работи във всички версии на Windows. Също така, тази техника за избягване на зловреден софтуер наподобява откриването преди няколко години на процесите.

Как работи Doppelgänging в Windows

В този случай техниката е различна от Process Hollowing. Главно защото всички компютри и антивирусни програми вече имат защита срещу него. В този случай процесът има различен подход, въпреки че целта е една и съща. Използват се Windows NTFS транзакции и по-стара реализация на мениджъра на процесите на операционната система. Първоначално този мениджър е създаден за Windows XP, но всички версии го имат.

NTFS транзакции ви позволява да създавате, променяте, преименувате и изтривате разделени файлове и директории. Това дава възможност на разработчиците да създават изходни процедури. Първо, атаката обработва валиден изпълним файл. Но след това продължава да го презаписва със злонамерен файл. Той създава раздел от паметта от този злонамерен файл и изтрива промените, които се правят във валидния. Секцията с памет е тази, която действително има злонамерен код, но успява да бъде невидима за антивирусни.

Той успя да прескочи основните антивирусни програми в различните анализи, проведени от изследователите. Така че това е проблем, който трябва да бъде отстранен. Изглежда, че всички версии на Windows, с изключение на Fall Creators Update, са жертва на този възможен провал.