Một lỗi cho phép virus lây nhiễm máy tính Windows

Một nhóm các nhà nghiên cứu đã phát hiện ra một kỹ thuật mới mà phần mềm độc hại có thể vượt qua các kiểm soát chống vi-rút và xâm nhập vào máy tính Windows. Theo cách này, quản lý để lây nhiễm máy tính trong câu hỏi. Nó được mệnh danh là quá trình Doppelgänging và là một kỹ thuật mới tận dụng chức năng của Windows và trình tải quy trình.

Sự cố cho phép vi-rút lây nhiễm máy tính Windows

Các nhà nghiên cứu đã trình bày những phát hiện của họ tại hội nghị bảo mật Mũ Đen 2017. Quá trình này dường như hoạt động trên tất cả các phiên bản Windows. Ngoài ra, kỹ thuật trốn tránh phần mềm độc hại này giống như Process Hollowing được phát hiện vài năm trước.

Cách Doppelgänging hoạt động trong Windows

Trong trường hợp này, kỹ thuật này khác với Process Hollowing. Chủ yếu là vì tất cả các máy tính và phần mềm chống vi-rút đã có bảo vệ chống lại nó. Trong trường hợp này, quy trình có một cách tiếp cận khác, mặc dù mục tiêu là như nhau. Giao dịch NTFS của Windows và bản triển khai cũ của trình quản lý quy trình hệ điều hành được sử dụng. Trình quản lý này ban đầu được thiết kế cho Windows XP, nhưng tất cả các phiên bản đều có nó.

Giao dịch NTFS cho phép bạn tạo, sửa đổi, đổi tên và xóa các tệp và thư mục được phân vùng. Điều này cung cấp cho các nhà phát triển tùy chọn để tạo thói quen thoát. Đầu tiên, cuộc tấn công xử lý một thực thi hợp lệ. Nhưng sau đó nó tiến hành ghi đè lên nó bằng một tệp độc hại. Nó tạo ra một phần bộ nhớ từ tệp độc hại này và xóa các thay đổi được thực hiện trong tệp hợp lệ. Phần bộ nhớ là phần thực sự có mã độc hại, nhưng nó quản lý để vô hình trước phần mềm chống vi-rút.

Nó đã quản lý để bỏ qua các chương trình chống vi-rút chính trong các phân tích khác nhau được thực hiện bởi các nhà nghiên cứu. Vì vậy, đây là một vấn đề cần được khắc phục. Có vẻ như tất cả các phiên bản Windows, ngoại trừ Fall Creators Update đều là nạn nhân của sự thất bại có thể này.