Błąd pozwala wirusom infekować komputery z systemem Windows

Zespół naukowców odkrył nową technikę, dzięki której złośliwe oprogramowanie może ominąć kontrolę antywirusową i dostać się na komputery z systemem Windows. W ten sposób udaje się zainfekować komputer, o którym mowa. Został nazwany procesem Doppelgänging i jest nową techniką wykorzystującą funkcję Windows i moduł ładujący proces.

Awaria umożliwia wirusom infekowanie komputerów z systemem Windows

Naukowcy zaprezentowali swoje odkrycia na konferencji bezpieczeństwa Black Hat w 2017 roku. Wydaje się, że ten proces działa we wszystkich wersjach systemu Windows. Ta technika unikania szkodliwego oprogramowania przypomina również proces Hollowowanie odkryty kilka lat temu.

Jak działa Doppelgänging w systemie Windows

W tym przypadku technika różni się od procesu Hollowowania. Głównie dlatego, że wszystkie komputery i program antywirusowy mają już ochronę przed nim. W tym przypadku proces ma inne podejście, chociaż cel jest taki sam. Używane są transakcje Windows NTFS i starsza implementacja menedżera procesów systemu operacyjnego. Ten menedżer został pierwotnie zaprojektowany dla systemu Windows XP, ale wszystkie wersje go mają.

Transakcje NTFS pozwalają tworzyć, modyfikować, zmieniać nazwę i usuwać partycjonowane pliki i katalogi. Daje to programistom opcję tworzenia procedur wyjścia. Po pierwsze, atak przetwarza prawidłowy plik wykonywalny. Ale następnie przechodzi do zastąpienia go złośliwym plikiem. Tworzy sekcję pamięci z tego złośliwego pliku i usuwa zmiany dokonane w prawidłowym pliku. Sekcja pamięci to ta, która zawiera złośliwy kod, ale udaje mu się być niewidoczna dla programu antywirusowego.

Udało mu się pominąć główne programy antywirusowe w różnych analizach przeprowadzonych przez naukowców. Jest to więc problem, który należy naprawić. Wygląda na to, że wszystkie wersje systemu Windows, z wyjątkiem Fall Creators Update, są ofiarami tej możliwej awarii.