Вирус, который невозможно обнаружить

Современные антивирусы не способны отследить новую вредоносную программу, взламывающую Windows

Новый вирус, поражающий Windows, выявили сотрудники компании enSilo, работающей в сфере кибербезопасности. Они продемонстрировали новый метод взлома на конференции Black Hat Europe 2017. Об этом пишет TechSpot.

Особенность вредоносной программы в том, что ее не в состоянии обнаружить современные антивирусы. Уязвимость, используемая для атаки под названием Process Doppelgänging, затрагивает все версии Windows, начиная с седьмой.

По словам специалистов, благодаря использованию так называемых транзакций NTFS имеется возможность модифицировать настоящий исполняемый файл с помощью вредоносного кода, результат при этом не будет сохранен на жестком диске, соответственно, не будет обнаружен антивирусами.

В доказательство сотрудники enSilo протестировали около десяти наиболее популярных антивирусов, ни один из которых не выявил опасности. По словам специалистов, вредоносная программа эксплуатирует фундаментальные механизмы операционной системы, поэтому выпустить «заплатку» для Windows не получится. В то же время в компании уверены, что в будущем антивирусы смогут отлавливать такой тип атак.

www.bfm.ru/amp/news/372379?__twitter_impression=true

Presented at Black Hat Europe, a new fileless code injection technique has been detailed by security researchers Eugene Kogan and Tal Liberman. Dubbed Process Doppelgänging, commonly available antivirus software is unable to detect processes that have been modified to include malicious code.

The process is very similar to a technique called Process Hollowing, but software companies can already detect and mitigate risks from the older attack method. Process Hollowing occurs when memory of a legitimate program is modified and replaced with user-injected data causing the original process to appear to run normally while executing potentially harmful code.

Unlike the outdated hollowing technique, Process Doppelgänging takes advantage of how Windows loads processes into memory. The mechanism that loads programs was originally designed for Windows XP and has changed little since then.

To attempt the exploit, a normal executable is handed to the NTFS transaction and then overwritten by a malicious file. The NTFS transaction is a sandboxed location that returns only a success or failure result preventing partial operations. A piece of memory in the target file is modified. After modification, the NTFS transaction is intentionally failed so that the original file appears to be unmodified. Finally, the Windows process loader is used to invoke the modified section of memory that was never removed.

www.techspot.com/news/72206-new-code-injection-method-avoids-malware-detection-all.html
  • +4
  • 12 декабря 2017, 19:47
  • USER

Комментарии (1)

RSS свернуть / развернуть
+
Как маскируются "невидимые" вирусы? Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки. Расскажем о некоторых из них.

«Невидимые» вирусы

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект «невидимости» наблюдается толькона зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Замечания. 1. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Такими программами являются, в частности, ADinf фирмы «Диалог-Наука», Norton AntiVirus и др.

2. Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают ее в файл или файлы. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Продолжение: sites.google.com/site/bezopasnyjkomp/11-kak-maskiruutsa-nevidimye-virusy
avatar

USER

  • 12 декабря 2017, 19:59

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.