Ett fel tillåter virus att infektera Windows-datorer

Ett forskarteam har upptäckt en ny teknik genom vilken skadlig programvara kan kringgå antiviruskontroller och komma in i Windows-datorer. På detta sätt lyckas infektera den aktuella datorn. Det har kallats Doppelgänging- processen och är en ny teknik som drar nytta av en Windows-funktion och processlastaren.

Crash tillåter virus att infektera Windows-datorer

Forskarna har presenterat sina resultat på säkerhetskonferensen Black Hat 2017. Denna process verkar fungera på alla versioner av Windows. Dessutom liknar denna teknik för att undvika skadlig programvara Process Hollowing som upptäcktes för några år sedan.

Hur Doppelgänging fungerar i Windows

I detta fall skiljer sig tekniken från Process Hollowing. Huvudsakligen för att alla datorer och antivirusprogram redan har skydd mot det. I detta fall har processen ett annat tillvägagångssätt, även om målet är detsamma. Windows NTFS-transaktioner och en äldre implementering av operativsystemets processhanterare används. Den här hanteraren var ursprungligen designad för Windows XP, men alla versioner har den.

Med NTFS Transactions kan du skapa, ändra, byta namn på och ta bort partitionerade filer och kataloger. Detta ger utvecklarna möjlighet att skapa exitrutiner. Först behandlar attacken en giltig körbar. Men sedan fortsätter det att skriva över det med en skadlig fil. Det skapar ett minnesavsnitt från den skadliga filen och tar bort ändringarna som görs i den giltiga. Minnesavsnittet är det som faktiskt har den skadliga koden, men den lyckas vara osynlig för antivirus.

Det har lyckats hoppa över de viktigaste antivirusprogrammen i de olika analyserna som utförs av forskarna. Så detta är ett problem som måste åtgärdas. Det verkar som att alla versioner av Windows, med undantag för Fall Creators Update, är offer för detta möjliga fel.