Помилка дозволяє вірусам заражати комп'ютери Windows

Команда дослідників виявила нову методику, за допомогою якої зловмисне програмне забезпечення могло обійти антивірусні засоби управління та зайти на комп'ютери Windows. Таким чином, вдається заразити відповідний комп’ютер. Він отримав назву процесу Doppelgänging і є новою методикою, яка використовує переваги функції Windows та завантажувача процесів.

Збій дозволяє вірусам заражати комп'ютери Windows

Свої висновки дослідники представили на конференції з безпеки Чорної Шапочки 2017 року. Цей процес, здається, працює у всіх версіях Windows. Крім того, ця методика ухилення від зловмисного програмного забезпечення нагадує процес вилучення, виявлений кілька років тому.

Як працює Doppelgänging в Windows

У цьому випадку техніка відрізняється від процесу висипки. Головним чином тому, що всі комп’ютери та антивірус вже мають захист від нього. У цьому випадку процес має інший підхід, хоча мета однакова. Використовуються операції Windows NTFS та старіша реалізація менеджера процесів операційної системи. Спочатку цей менеджер був розроблений для Windows XP, але у всіх його версіях є.

Транзакції NTFS дозволяють створювати, змінювати, перейменовувати та видаляти розділені файли та каталоги. Це дає розробникам можливість створювати вихідні процедури. По-перше, атака обробляє дійсний виконуваний файл. Але потім переходить до перезапис шкідливого файлу. Він створює розділ пам’яті з цього шкідливого файлу та видаляє зміни, внесені у дійсний. Розділ пам'яті - це той, який насправді має шкідливий код, але йому вдається бути невидимим для антивірусу.

У різних аналізах, проведених дослідниками, вдалося пропустити основні антивірусні програми. Тож це проблема, яку потрібно виправити. Схоже, що всі версії Windows, за винятком Fall Creators Update, є жертвами цього можливого збою.