Знойдзеная вірусная ўразлівасць усіх мадыфікацый Windows, ад якой нельга пазбавіцца
10.12.2017 / 13:07
Эксперты кампаніі enSilo распавялі пра Process Doppelganging (PD) — новы спосаб атакаваць аперацыйную сістэму Windows, падчас якой усе вядомыя антывірусы не заўважаюць ўзлом. Пра гэта паведамляе Bleeping Computer з канферэнцыі Black Hat Europe 2017 у Лондане.
Па словах экспертаў, шкоднасны код не захоўваецца на дыску прылад, а знаходзіцца ў аператыўнай памяці, у гэтым і заключаецца прычына, па якой антывірусы не могуць адсачыць яго.
«Мэта метаду — дазволіць шкоднаснаму ПЗ запускаць адвольны код (уключаючы код, які з'яўляецца зламысным), у кантэксце легальнага працэсу на мэтавай машыне», — напісалі Тал Ліберман і Яўген Коган, два даследчыкі enSilo, якія выявілі ўразлівасць.
Пры дапамозе гэтай тэхнікі вірус крадзе паролі і падмяняе вокны браўзэра. Эксперты адзначаюць, што кампутары, на якіх былі ўсталяваныя антывірусныя праграмы Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda і Volatility не прайшлі тэст на выяўленне віруса.
Bleeping Computer падкрэслівае, што ўразлівасць нельга ліквідаваць шляхам патчу, бо вірус «выкарыстоўвае фундаментальныя функцыі і асноўны дызайн механізму загрузкі працэсаў у Windows», што не распазнаецца як знешняе ўмяшальніцтва ў працэсы.