Эксперты компании enSilo рассказали о Process Doppelganging (PD) — новом способе атаковать операционную систему Windows, при которой антивирусы не замечают взлом. Об этом сообщает Bleeping Computer с конференции Black Hat Europe 2017 в Лондоне.
По словам экспертов, вредоносный код не сохраняется на диске устройств, а находится в оперативной памяти, в этом и заключается причина, по которой антивирусы не могут отследить его.
«Цель метода - разрешить вредоносному ПО запускать произвольный код (включая код, который является злонамеренным), в контексте законного процесса на целевой машине», - написали Тал Либерман и Евгений Коган, два исследователя enSilo, которые обнаружили уязвимость.
При помощи этой техники вирус ворует пароли и подменяет окна браузера. Эксперты отмечают, что компьютеры, на которых были установлены антивирусные программы Kaspersky, Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda и Volatility не прошли тест на обнаружение вируса.
Bleeping Computer подчеркивает, что уязвимость нельзя устранить изданием патча, так как вирус «использует фундаментальные функции и основной дизайн механизма загрузки процессов в Windows», что не распознается как внешнее нарушение процессов.