Ошибка позволяет вирусам заражать компьютеры Windows

Команда исследователей обнаружила новую технику, с помощью которой вредоносные программы могут обходить антивирусные элементы управления и проникать на компьютеры Windows. Таким образом, удается заразить компьютер под вопросом. Он был назван процессом Doppelgänging и представляет собой новый метод, использующий преимущества функции Windows и загрузчика процесса.

Сбой позволяет вирусам заражать компьютеры Windows

Исследователи представили свои результаты на конференции по безопасности Black Hat 2017 года. Этот процесс работает на всех версиях Windows. Кроме того, этот метод уклонения от вредоносных программ напоминает процесс Hollowing, обнаруженный несколько лет назад.

Как Doppelgänging работает в Windows

В этом случае методика отличается от процесса выдавливания. Главным образом потому, что все компьютеры и антивирус уже имеют защиту от него. В этом случае к процессу применяется другой подход, хотя цель одна и та же. Используются транзакции Windows NTFS и более старая реализация диспетчера процессов операционной системы. Этот менеджер изначально был разработан для Windows XP, но есть во всех версиях.

Транзакции NTFS позволяют создавать, изменять, переименовывать и удалять разделенные файлы и каталоги. Это дает разработчикам возможность создавать процедуры выхода. Сначала атака обрабатывает допустимый исполняемый файл. Но затем он перезаписывает его вредоносным файлом. Он создает раздел памяти из этого вредоносного файла и удаляет изменения, внесенные в действительный файл. Раздел памяти - это тот, который содержит вредоносный код, но он невидим для антивируса.

Ему удалось пропустить основные антивирусные программы в различных анализах, проведенных исследователями. Так что это проблема, которую нужно исправить. Похоже, что все версии Windows, за исключением Fall Creators Update, являются жертвами этого возможного сбоя.