Chyba umožňuje virům infikovat počítače se systémem Windows

Tým vědců objevil novou techniku, pomocí níž by malware mohl obejít antivirové kontroly a vstoupit do počítačů se systémem Windows. Tímto způsobem se nakazí příslušný počítač. Byl označen jako Doppelgänging a jedná se o novou techniku, která využívá funkce systému Windows a zavaděče procesů.

Crash umožňuje virům infikovat počítače se systémem Windows

Vědci představili svá zjištění na bezpečnostní konferenci Black Hat 2017. Zdá se, že tento proces funguje ve všech verzích systému Windows. Tato technika vyhýbání se malwaru se také podobá postupu, který byl objeven před několika lety.

Jak Doppelgänging funguje ve Windows

V tomto případě se technika liší od Process Hollowing. Hlavně proto, že všechny počítače a antivirové programy již proti němu mají ochranu. V tomto případě má proces jiný přístup, i když cíl je stejný. Používají se transakce Windows NTFS a starší implementace správce procesů operačního systému. Tento správce byl původně navržen pro Windows XP, ale všechny verze jej mají.

Transakce NTFS vám umožňují vytvářet, upravovat, přejmenovávat a mazat rozdělené soubory a adresáře. To dává vývojářům možnost vytvářet výstupní rutiny. Za prvé, útok zpracuje platný spustitelný soubor. Poté jej však přepíše škodlivým souborem. Vytvoří sekci paměti z tohoto škodlivého souboru a odstraní změny provedené v platné. Sekce paměti je ta, která skutečně obsahuje škodlivý kód, ale nedokáže být pro antivirus neviditelná.

V různých analýzách prováděných vědci dokázala přeskočit hlavní antivirové programy. To je problém, který je třeba opravit. Zdá se, že všechny verze Windows, s výjimkou aktualizace Fall Creators Update, jsou oběťmi tohoto možného selhání.