Virheen avulla virukset voivat tartuttaa Windows-tietokoneita

Tutkijaryhmä on löytänyt uuden tekniikan, jolla haittaohjelmat voivat ohittaa virustorjuntatoimenpiteet ja päästä Windows-tietokoneisiin. Tällä tavalla onnistutaan tartuttamaan kyseinen tietokone. Se on nimetty Doppelgänging- prosessiksi ja on uusi tekniikka, joka hyödyntää Windows-toimintoa ja prosessikuormaajaa.

Kaatuminen antaa viruksille mahdollisuuden tartuttaa Windows-tietokoneita

Tutkijat ovat esittäneet havaintonsa vuoden 2017 Black Hat -turvallisuuskonferenssissa. Tämä prosessi näyttää toimivan kaikissa Windows-versioissa. Tämä haittaohjelmaväentämistekniikka muistuttaa myös muutama vuosi sitten löydettyä prosessinpesäkettä.

Kuinka Doppelgänging toimii Windowsissa

Tässä tapauksessa tekniikka eroaa prosessin ontosta. Lähinnä siksi, että kaikilla tietokoneilla ja viruksilla on jo suojaus sitä vastaan. Tässä tapauksessa prosessilla on erilainen lähestymistapa, vaikka tavoite on sama. Käytetään Windows NTFS -tapahtumia ja käyttöjärjestelmän prosessinhallinnan vanhempaa toteutusta. Tämä hallintaohjelma on alun perin suunniteltu Windows XP: lle, mutta kaikilla versioilla on se.

NTFS-tapahtumien avulla voit luoda, muokata, nimetä uudelleen ja poistaa osioituja tiedostoja ja hakemistoja. Tämä antaa kehittäjille mahdollisuuden luoda poistumisrutiineja. Ensinnäkin hyökkäys prosessoi kelvollisen suoritettavan. Mutta sitten se kirjoittaa sen haittaohjelmalla. Se luo muistiosuuden tästä haitallisesta tiedostosta ja poistaa muutokset, jotka on tehty voimassa olevaan tiedostoon. Muistiosassa on tosiasiallisesti vahingollinen koodi, mutta se onnistuu olemaan näkymätön virukselle.

Se on onnistunut ohittamaan tärkeimmät virustorjuntaohjelmat tutkijoiden suorittamissa eri analyyseissä. Joten tämä on ongelma, joka on korjattava. Näyttää siltä, ​​että kaikki Windows-versiot, lukuun ottamatta Fall Creators -päivitystä, ovat tämän mahdollisen vian uhreja.