Знойдзеная вірусная ўразлівасць усіх мадыфікацый Windows, ад якой нельга пазбавіцца

10.12.2017 / 13:07

Эксперты кампаніі enSilo распавялі пра Process Doppelganging (PD) — новы спосаб атакаваць аперацыйную сістэму Windows, падчас якой усе вядомыя антывірусы не заўважаюць ўзлом. Пра гэта паведамляе Bleeping Computer з канферэнцыі Black Hat Europe 2017 у Лондане.

Па словах экспертаў, шкоднасны код не захоўваецца на дыску прылад, а знаходзіцца ў аператыўнай памяці, у гэтым і заключаецца прычына, па якой антывірусы не могуць адсачыць яго.

«Мэта метаду — дазволіць шкоднаснаму ПЗ запускаць адвольны код (уключаючы код, які з'яўляецца зламысным), у кантэксце легальнага працэсу на мэтавай машыне», — напісалі Тал Ліберман і Яўген Коган, два даследчыкі enSilo, якія выявілі ўразлівасць.

Пры дапамозе гэтай тэхнікі вірус крадзе паролі і падмяняе вокны браўзэра. Эксперты адзначаюць, што кампутары, на якіх былі ўсталяваныя антывірусныя праграмы Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda і Volatility не прайшлі тэст на выяўленне віруса.

Bleeping Computer падкрэслівае, што ўразлівасць нельга ліквідаваць шляхам патчу, бо вірус «выкарыстоўвае фундаментальныя функцыі і асноўны дызайн механізму загрузкі працэсаў у Windows», што не распазнаецца як знешняе ўмяшальніцтва ў працэсы.