En feil gjør at virus kan infisere Windows-datamaskiner

Et team av forskere har oppdaget en ny teknikk som malware kan omgå antiviruskontroller og gå inn i Windows-datamaskiner. På denne måten klarer du å infisere datamaskinen det gjelder. Den har blitt kalt Doppelgänging- prosessen og er en ny teknikk som drar nytte av en Windows-funksjon og prosesslasteren.

Crash lar virus infisere Windows-datamaskiner

Forskerne har presentert sine funn på sikkerhetskonferansen Black Hat i 2017. Denne prosessen ser ut til å fungere på alle versjoner av Windows. Denne unndragelsesteknikken for malware ligner prosesshulling som ble oppdaget for noen år siden.

Slik fungerer Doppelgänging i Windows

I dette tilfellet er teknikken forskjellig fra Process Hollowing. Hovedsakelig fordi alle datamaskiner og antivirus allerede har beskyttelse mot det. I dette tilfellet har prosessen en annen tilnærming, selv om målet er det samme. Windows NTFS-transaksjoner og en eldre implementering av operasjonssystemets prosessleder brukes. Denne manageren ble opprinnelig designet for Windows XP, men alle versjoner har den.

NTFS Transactions lar deg opprette, endre, endre navn og slette partisjonerte filer og kataloger. Dette gir utviklere muligheten til å lage avgangsrutiner. Først behandler angrepet en gyldig kjørbar. Men så fortsetter den med å overskrive den med en ondsinnet fil. Det oppretter en minneseksjon fra denne ondsinnede filen og sletter endringene som er gjort i den gyldige. Minnedelen er den som faktisk har den ondsinnede koden, men den klarer å være usynlig for antivirus.

Det har klart å hoppe over de viktigste antivirusprogrammene i de forskjellige analysene som er utført av forskerne. Så dette er et problem som må løses. Det ser ut til at alle versjoner av Windows, med unntak av Fall Creators Update, er offer for denne mulige feilen.