Un bug permite virusurilor să infecteze computerele Windows

O echipă de cercetători a descoperit o nouă tehnică prin care malware-ul ar putea ocoli controalele antivirus și să intre în computerele Windows. În acest fel, reușind să infectăm calculatorul în cauză. A fost supranumit procesul Doppelgänging și este o tehnică nouă care profită de o funcție Windows și de încărcătorul proceselor.

Crash permite virușilor să infecteze calculatoarele Windows

Cercetătorii și-au prezentat descoperirile în cadrul conferinței de securitate din 2017 pentru Black Hat. Acest proces pare să funcționeze pe toate versiunile de Windows. De asemenea, această tehnică de evaziune a malware-ului seamănă cu Procesul de scăpare descoperit acum câțiva ani.

Cum funcționează Doppelgänging în Windows

În acest caz, tehnica este diferită de Procesul de golire. În principal, deoarece toate computerele și antivirusul au deja protecție împotriva acestuia. În acest caz, procesul are o abordare diferită, deși obiectivul este același. Sunt utilizate tranzacțiile Windows NTFS și o implementare mai veche a managerului de proces al sistemului de operare. Acest manager a fost proiectat inițial pentru Windows XP, dar toate versiunile îl au.

Tranzacții NTFS vă permite să creați, să modificați, să redenumiți și să ștergeți fișiere și directoare partiționate. Aceasta oferă dezvoltatorilor opțiunea de a crea rutine de ieșire. În primul rând, atacul procesează un executabil valid. Dar apoi se continuă să se suprascrie cu un fișier rău intenționat. Creează o secțiune de memorie din acest fișier rău intenționat și șterge modificările aduse în cel valid. Secțiunea de memorie este cea care are de fapt codul rău intenționat, dar reușește să fie invizibilă antivirusului.

A reușit să sară principalele programe antivirus în diferitele analize efectuate de cercetători. Deci aceasta este o problemă care trebuie rezolvată. Se pare că toate versiunile Windows, cu excepția Fall Creators Update sunt victime ale acestui posibil eșec.