Грешка омогућава вирусима да заразе Виндовс рачунаре

Тим истраживача открио је нову технику којом злонамјерни софтвер може заобићи антивирусне контроле и ући у Виндовс рачунаре. На тај начин, успевајући да заразите рачунар. То је названо Доппелгангинг процесом и нова је техника која користи Виндовс функцију и учитавач процеса.

Судар омогућава вирусима да заразе Виндовс рачунаре

Истраживачи су своја открића представили на конференцији о безбедности Црног шешира 2017. године. Чини се да овај процес делује на свим верзијама оперативног система Виндовс. Такође, ова техника избегавања злонамјерног софтвера подсећа на процес издувавања откривен пре неколико година.

Како Доппелгангинг ради у оперативном систему Виндовс

У овом се случају техника разликује од процеса шупљења. Углавном зато што сви рачунари и антивирусни програми већ имају заштиту од њега. У овом случају, процес има другачији приступ, иако је циљ исти. Користе се Виндовс НТФС Трансакције и старија имплементација менаџера процеса оперативног система. Овај менаџер је првобитно дизајниран за Виндовс КСП, али га имају све верзије.

Трансакције НТФС вам омогућавају да креирате, мењате, преименујете и бришете партициониране датотеке и директоријуме. То програмерима даје могућност креирања излазних рутина. Прво, напад обрађује ваљану извршну датотеку. Али тада наставља преписивати са злонамерном датотеком. Ствара одељак са меморијом из ове злонамерне датотеке и брише промене које су унете у важећу. Одељак меморије је онај који заправо има злонамерни код, али успева да буде невидљив за антивирус.

У различитим анализама које су спровели истраживачи успео је да прескочи главне антивирусне програме. Дакле, ово је проблем који треба да се реши. Чини се да су све верзије оперативног система Виндовс, осим Фалл Цреаторс Упдате-а, жртве овог могућег квара.