Chyba umožňuje vírusom infikovať počítače so systémom Windows

Tím vedcov objavil novú techniku, pomocou ktorej by malvér mohol obísť antivírusové kontroly a vstúpiť do počítačov so systémom Windows. Týmto spôsobom sa podarí infikovať daný počítač. Bol nazvaný Doppelgänging proces a je novou technikou, ktorá využíva funkciu systému Windows a procesného zavádzača.

Crash umožňuje vírusom infikovať počítače so systémom Windows

Vedci predstavili svoje zistenia na bezpečnostnej konferencii Black Hat 2017. Zdá sa, že tento proces funguje vo všetkých verziách systému Windows. Táto technika vyhýbania sa malvéru sa tiež podobá postupu, ktorý sa objavil pred niekoľkými rokmi.

Ako Doppelgänging funguje vo Windows

V tomto prípade sa technika líši od postupu dutiny. Hlavne preto, že všetky počítače a antivírusové programy už proti nemu majú ochranu. V tomto prípade má postup iný prístup, hoci cieľ je rovnaký. Používajú sa transakcie Windows NTFS a staršia implementácia procesného manažéra operačného systému. Tento správca bol pôvodne navrhnutý pre systém Windows XP, ale všetky verzie ho majú.

Transakcie NTFS vám umožňujú vytvárať, upravovať, premenovávať a mazať rozdelené súbory a adresáre. To dáva vývojárom možnosť vytvárať výstupné rutiny. Po prvé, útok spracuje platný spustiteľný súbor. Potom ho však prepíše škodlivým súborom. Z tohto škodlivého súboru vytvorí časť pamäte a odstráni zmeny vykonané v platnom súbore. Oddiel s pamäťou je ten, ktorý má škodlivý kód, ale nedokáže byť pre antivírus neviditeľný.

V rôznych analýzach vedcov dokázala preskočiť hlavné antivírusové programy. Toto je problém, ktorý je potrebné napraviť. Zdá sa, že všetky verzie systému Windows, s výnimkou aktualizácie Fall Creators, sú obeťami tohto možného zlyhania.