Bug membenarkan virus menjangkiti komputer Windows

Satu pasukan penyelidik telah menemui teknik baru di mana malware boleh memintas kawalan antivirus dan memasukkan komputer Windows. Dengan cara ini, menguruskan untuk menjangkiti komputer yang dipersoalkan. Ia telah digelar proses Doppelgänging dan merupakan teknik baru yang mengambil kesempatan daripada fungsi Windows dan loader proses.

Crash membolehkan virus menjangkiti komputer Windows

Para penyelidik telah membentangkan penemuan mereka pada persidangan keselamatan Black Hat 2017. Proses ini seolah-olah berfungsi pada semua versi Windows. Juga, teknik pengelakan malware ini menyerupai Proses Hollowing ditemui beberapa tahun yang lalu.

Bagaimana kerja Doppelgngging di Windows

Dalam kes ini, teknik ini berbeza dari Proses Hollowing. Terutamanya kerana semua komputer dan antivirus sudah ada perlindungan terhadapnya. Dalam kes ini, proses ini mempunyai pendekatan yang berbeza, walaupun objektifnya sama. Urus niaga Windows NTFS dan pelaksanaan proses pengurus sistem operasi lebih lama digunakan. Pengurus ini pada asalnya direka untuk Windows XP, tetapi semua versi memilikinya.

Transaksi NTFS membolehkan anda membuat, mengubah suai, menamakan semula, dan memadam fail dan direktori yang dipartisi. Ini memberi pemaju pilihan untuk membuat rutin keluar. Pertama, serangan menyerang yang boleh laku yang sah. Tetapi kemudian ia terus menimpa dengan fail yang berniat jahat. Ia mewujudkan seksyen memori dari fail berniat jahat ini dan memadamkan perubahan yang dibuat pada yang sah. Seksyen memori adalah yang sebenarnya mempunyai kod jahat, tetapi ia tidak dapat dilihat oleh antivirus.

Ia telah berjaya melangkaui program antivirus utama dalam analisis yang berbeza yang dilakukan oleh penyelidik. Jadi ini masalah yang perlu diperbaiki. Nampaknya semua versi Windows, dengan pengecualian Fall Update Pencipta adalah mangsa kegagalan ini mungkin.