Bug omogućava virusima da zaraze Windows računala

Tim istraživača otkrio je novu tehniku ​​kojom je zlonamjerni softver mogao zaobići antivirusne kontrole i ući u Windows računala. Na taj način uspijevaju zaraziti dotično računalo. To je nazvano Doppelgänging procesom i nova je tehnika koja koristi Windows funkciju i procesor učitava.

Sudar omogućava virusima da zaraze Windows računala

Istraživači su svoja otkrića iznijeli na sigurnosnoj konferenciji Black Hat 2017. godine. Čini se da ovaj postupak djeluje na sve verzije sustava Windows. Također, ova tehnika utaje zlonamjernog softvera nalikuje Process Hollowing otkrivenu prije nekoliko godina.

Kako Doppelgänging radi u sustavu Windows

U ovom se slučaju tehnika razlikuje od procesa izdubljivanja. Uglavnom zato što sva računala i antivirusni programi već imaju zaštitu protiv njega. U ovom slučaju, postupak ima drugačiji pristup, iako je cilj isti. Koriste se Windows NTFS Transakcije i starija implementacija upravitelja procesa operacijskog sustava. Ovaj je upravitelj izvorno dizajniran za Windows XP, ali ga imaju sve verzije.

NTFS Transakcije omogućuju vam stvaranje, izmjenu, preimenovanje i brisanje particioniranih datoteka i mapa. To programerima daje mogućnost izrade izlaznih rutina. Prvo, napad obrađuje valjanu izvršnu datoteku. Ali tada nastavlja prebrisati sa zlonamjernom datotekom. Stvara odjeljak s memorijom iz ove zlonamjerne datoteke i briše promjene koje su učinjene u valjanoj. Odjeljak memorije je onaj koji zapravo ima zlonamjerni kod, ali uspijeva biti nevidljiv za antivirus.

U različitim je analizama koje su proveli istraživači uspio preskočiti glavne antivirusne programe. Dakle, to je problem koji treba riješiti. Čini se da su sve verzije sustava Windows, s izuzetkom Fall Creators Update, žrtve ovog mogućeg kvara.