Triktis leidžia virusams užkrėsti „Windows“ kompiuterius

Tyrėjų komanda atrado naują metodą, kaip kenkėjiška programinė įranga galėtų apeiti antivirusines valdiklius ir patekti į „Windows“ kompiuterius. Tokiu būdu pavyksta užkrėsti aptariamą kompiuterį. Jis buvo pavadintas „ Doppelgänging“ procesu ir yra nauja technika, kuria pasinaudojama „Windows“ funkcijos ir proceso įkėlėjo galimybėmis.

Avarija leidžia virusams užkrėsti „Windows“ kompiuterius

Tyrėjai pateikė savo išvadas 2017 m. „Black Hat“ saugumo konferencijoje. Panašu, kad šis procesas veikia visose „Windows“ versijose. Be to, ši kenkėjiškų programų vengimo technika primena prieš kelerius metus atrastą proceso tuščiavidurį procesą.

Kaip „Doppelgänging“ veikia „Windows“

Šiuo atveju technika skiriasi nuo proceso tuščiavidurio. Daugiausia todėl, kad visi kompiuteriai ir antivirusinės jau turi apsaugą nuo to. Šiuo atveju procesas skiriasi, nors tikslas yra tas pats. Naudojami „Windows NTFS Transactions“ ir senesnės operacinės sistemos procesų tvarkyklės diegimai. Ši tvarkyklė iš pradžių buvo sukurta „Windows XP“, tačiau ją turi visos versijos.

NTFS operacijos leidžia kurti, modifikuoti, pervardyti ir ištrinti padalintus failus ir katalogus. Tai suteikia kūrėjams galimybę sukurti išėjimo tvarką. Pirma, ataka apdoroja galiojantį vykdomąjį failą. Bet tada jis perrašomas kenkėjišku failu. Jis sukuria atminties skyrių iš šio kenksmingo failo ir ištrina galiojančio pakeitimus. Atminties skyrius yra tas, kuriame iš tikrųjų yra kenksmingas kodas, tačiau jis sugeba būti nematomas antivirusinei programai.

Įvairių tyrėjų atliktų analizių metu jai pavyko praleisti pagrindines antivirusines programas. Taigi tai yra problema, kurią reikia išspręsti. Panašu, kad visos „Windows“ versijos, išskyrus „Fall Creators Update“, yra šios galimos nesėkmės aukos.