A hiba lehetővé teszi a vírusok számára a Windows számítógépek megfertőzését

Kutatók egy csoportja felfedezett egy új technikát, amellyel a rosszindulatú programok megkerülhetik a vírusvédelmi vezérlőket és beléphetnek a Windows számítógépekbe. Ily módon megfertőzheti a kérdéses számítógépet. Ezt Doppelgänging folyamatnak nevezték el, és egy új technika, amely kihasználja a Windows funkciót és a folyamatbetöltőt.

Az összeomlás lehetővé teszi a vírusok számára a Windows számítógépek megfertőzését

A kutatók a 2017. évi Black Hat biztonsági konferencián mutatták be eredményeiket. Úgy tűnik, hogy ez a folyamat a Windows összes verzióján működik. Ez a rosszindulatú programok elkerülésének technikája hasonló a néhány évvel ezelőtt felfedezett Process Hollowing-hez.

Hogyan működik a Doppelgänging a Windowsban

Ebben az esetben a technika különbözik a hollowing eljárástól. Főként azért, mert az összes számítógép és antivírus már rendelkezik védelemmel szemben. Ebben az esetben a folyamat más megközelítést alkalmaz, bár a cél ugyanaz. A Windows NTFS tranzakciók és az operációs rendszer folyamatkezelőjének egy régebbi megvalósítása kerül felhasználásra. Ezt a kezelőt eredetileg a Windows XP számára fejlesztették ki, de az összes verzió rendelkezik.

Az NTFS tranzakciók lehetővé teszik a particionált fájlok és könyvtárak létrehozását, módosítását, átnevezését és törlését. Ez lehetőséget ad a fejlesztőknek kilépési rutinok létrehozására. Először: a támadás egy érvényes végrehajtható fájlt dolgoz fel. De aztán rosszindulatú fájllal felülírja. Ebből a rosszindulatú fájlból memória részt hoz létre, és törli az érvényben lévő módosításokat. A memória szakaszban van ténylegesen a rosszindulatú kód, de sikerül láthatatlannak lennie az antivírus számára.

Sikerült átugornia a fő víruskereső programokat a kutatók által elvégzett különféle elemzések során. Tehát ez egy probléma, amelyet meg kell oldani. Úgy tűnik, hogy a Windows összes verziója, a Fall Creators Update kivételével, ennek a lehetséges hibanak az áldozata.