En fejl gør det muligt for vira at inficere Windows-computere

Et team af forskere har opdaget en ny teknik, hvor malware kan omgå antivirus-kontroller og gå ind i Windows-computere. På denne måde er det lykkedes at inficere den pågældende computer. Det er blevet kaldt Doppelgänging- processen og er en ny teknik, der drager fordel af en Windows-funktion og proceslæsseren.

Crash tillader viruser at inficere Windows-computere

Forskerne har præsenteret deres fund på sikkerhedskonferencen Black Hat i 2017. Denne proces ser ud til at fungere på alle versioner af Windows. Denne malware-unddragelsesteknologi ligner også Process Hollowing, der blev opdaget for et par år siden.

Sådan fungerer Doppelgänging i Windows

I dette tilfælde er teknikken forskellig fra Process Hollowing. Hovedsageligt fordi alle computere og antivirus allerede har beskyttelse imod det. I dette tilfælde har processen en anden tilgang, selvom målet er det samme. Windows NTFS-transaktioner og en ældre implementering af styresystemets processtyring bruges. Denne manager blev oprindeligt designet til Windows XP, men alle versioner har den.

NTFS Transactions giver dig mulighed for at oprette, ændre, omdøbe og slette partitionerede filer og mapper. Dette giver udviklere mulighed for at oprette exit-rutiner. Først behandler angrebet en gyldig eksekverbar. Men så fortsætter det med at overskrive det med en ondsindet fil. Det opretter et hukommelsesafsnit fra denne ondsindede fil og sletter de ændringer, der er foretaget i den gyldige. Hukommelsessektionen er den, der faktisk har den ondsindede kode, men den formår at være usynlig for antivirus.

Det har formået at springe de vigtigste antivirusprogrammer over i de forskellige analyser, der er foretaget af forskerne. Så dette er et problem, der skal rettes. Det ser ud til, at alle versioner af Windows, med undtagelse af Fall Creators Update, er ofre for denne mulige fiasko.