Hrošč omogoča virusom, da okužijo Windows računalnike

Skupina raziskovalcev je odkrila novo tehniko, s katero lahko zlonamerna programska oprema zaobide nadzor protivirusnih programov in vstopi v računalnike z operacijskim sistemom Windows. Na ta način uspe okužiti zadevni računalnik. Poimenovali so ga postopek Doppelgänging in je nova tehnika, ki izkorišča funkcijo sistema Windows in nalagalec procesov.

Crash virusom omogoča, da okužijo Windows računalnike

Raziskovalci so svoje ugotovitve predstavili na varnostni konferenci Black Hat 2017. Zdi se, da ta postopek deluje na vseh različicah sistema Windows. Tudi ta tehnika utajevanja zlonamerne programske opreme spominja na postopek odstranjevanja pred nekaj leti.

Kako deluje Doppelgänging v sistemu Windows

V tem primeru se tehnika razlikuje od procesa Hollowing. Predvsem zato, ker vsi računalniki in protivirusni programi že imajo zaščito pred njim. V tem primeru je postopek drugačen, čeprav je cilj enak. Uporabljajo se transakcije Windows NTFS in starejša implementacija upravitelja procesov operacijskega sistema. Ta upravitelj je bil prvotno zasnovan za Windows XP, vendar ga imajo vse različice.

Transakcije NTFS vam omogočajo ustvarjanje, spreminjanje, preimenovanje in brisanje particioniranih datotek in imenikov. To daje razvijalcem možnost, da ustvarijo izhodne rutine. Najprej napad obdela veljavno izvedljivo datoteko. Potem pa nadaljuje s prepisovanjem z zlonamerno datoteko. Iz te zlonamerne datoteke ustvari odsek spomina in izbriše spremembe, ki so bile izvedene v veljavni. Odsek s pomnilnikom je tisti, ki dejansko ima zlonamerno kodo, vendar protivirusnemu uspe, da je neviden.

V različnih analizah, ki so jih opravili raziskovalci, je uspelo preskočiti glavne protivirusne programe. Torej to je težava, ki jo je treba odpraviti. Videti je, da so vse verzije sistema Windows, razen Fall Creators Update, žrtve te morebitne napake.