Kļūda ļauj vīrusiem inficēt Windows datorus

Pētnieku komanda ir atklājusi jaunu paņēmienu, kā ļaunprogrammatūra varētu apiet antivīrusu vadību un iekļūt Windows datoros. Tādā veidā izdodas inficēt attiecīgo datoru. Tas ir nodēvēts par Doppelgänging procesu un ir jauna tehnika, kas izmanto Windows funkcijas un procesa ielādētāja priekšrocības.

Avārija ļauj vīrusiem inficēt Windows datorus

Pētnieki ir prezentējuši savus atklājumus 2017. gada Black Hat drošības konferencē. Šķiet, ka šis process darbojas visās Windows versijās. Arī šī ļaunprātīgas programmatūras izvairīšanās tehnika atgādina procesu, kas tika atklāts pirms dažiem gadiem.

Kā Doppelgänging darbojas sistēmā Windows

Šajā gadījumā tehnika atšķiras no procesa dobajiem. Galvenokārt tāpēc, ka visiem datoriem un antivīrusiem jau ir aizsardzība pret to. Šajā gadījumā procesam ir atšķirīga pieeja, lai gan mērķis ir vienāds. Tiek izmantoti Windows NTFS darījumi un vecāka operētājsistēmas procesu pārvaldnieka ieviešana. Šis pārvaldnieks sākotnēji tika paredzēts operētājsistēmai Windows XP, taču visām versijām tas ir pieejams.

NTFS transakcijas ļauj izveidot, modificēt, pārdēvēt un izdzēst sadalītos failus un direktorijus. Tas izstrādātājiem dod iespēju izveidot izejas rutīnas. Pirmkārt, uzbrukums apstrādā derīgu izpildāmu programmu. Bet pēc tam to pārraksta ar ļaunprātīgu failu. No šī kaitīgā faila tiek izveidota atmiņas sadaļa un tiek izdzēstas derīgajā izmaiņās veiktās izmaiņas. Atmiņas sadaļa ir tā, kurā faktiski ir ļaunprātīgais kods, taču tai izdodas būt neredzamai pretvīrusu ārstēšanai.

Tai ir izdevies izlaist galvenās pretvīrusu programmas dažādās pētījumos, ko veikuši pētnieki. Tātad šī ir problēma, kas jānovērš. Šķiet, ka visas Windows versijas, izņemot Fall Creators Update, ir šīs iespējamās kļūmes upuri.