Bir hata, virüslerin Windows bilgisayarlarına bulaşmasına izin verir

Bir araştırmacı ekibi, kötü amaçlı yazılımların virüsten koruma denetimlerini atlayıp Windows bilgisayarlara girebileceği yeni bir teknik keşfetti. Bu şekilde söz konusu bilgisayara bulaşmayı başarmak. Doppelgänging işlemi olarak adlandırılmıştır ve Windows işlevinden ve işlem yükleyiciden yararlanan yeni bir tekniktir.

Çökme, virüslerin Windows bilgisayarlarına bulaşmasına izin verir

Araştırmacılar bulgularını 2017 Black Hat güvenlik konferansında sundular. Bu işlem Windows'un tüm sürümlerinde çalışıyor gibi görünüyor. Ayrıca, bu kötü amaçlı yazılım kaçırma tekniği birkaç yıl önce keşfedilen Süreç Hollowing'e benzer.

Doppelgänging Windows'da nasıl çalışır?

Bu durumda, teknik Proses Boşluğu'ndan farklıdır. Temel olarak tüm bilgisayarların ve antivirüslerin buna karşı koruması zaten var. Bu durumda, amaç aynı olmasına rağmen, sürecin farklı bir yaklaşımı vardır. Windows NTFS İşlemleri ve işletim sistemi süreç yöneticisinin daha eski bir uygulaması kullanılır. Bu yönetici başlangıçta Windows XP için tasarlanmıştır, ancak tüm sürümlerde vardır.

NTFS İşlemleri, bölümlenmiş dosyaları ve dizinleri oluşturmanıza, değiştirmenize, yeniden adlandırmanıza ve silmenize olanak tanır. Bu, geliştiricilere çıkış rutinleri oluşturma seçeneği sunar. İlk olarak, saldırı geçerli bir yürütülebilir dosyayı işler. Ancak daha sonra kötü amaçlı bir dosyayla üzerine yazmaya devam eder. Bu kötü amaçlı dosyadan bir bellek bölümü oluşturur ve geçerli bölümde yapılan değişiklikleri siler. Bellek bölümü aslında kötü amaçlı koda sahip olan bölümdür, ancak antivirüs için görünmez olmayı başarır.

Araştırmacılar tarafından yapılan farklı analizlerde ana antivirüs programlarını atlamayı başardı. Yani bu düzeltilmesi gereken bir problem. Sonbahar Yaratıcıları Güncellemesi dışında , Windows'un tüm sürümlerinin bu olası hatanın kurbanı olduğu görülmektedir.