Новый вид вируса не оставляет следов и паразитирует на внутренних механизмах AVS-сканеров. Об этом программистскому сообществу рассказали на конференции Black Hat Europe 2017. Вредоносная программа способна обойти все существующие системы противодействия вирусам. Тестовые исследования показали, что они попросту не видят угрозу. Как сообщает портал Hyser, новый тип вирусов получил имя Process Doppelganging. Как отмечают специалисты, освоить такую систему обхода защиты сможет далеко не каждый хакер.
Оказалось, Process Doppelganging использует уязвимости стандартной файловой системы Windows, NTFS, и при этом он не оставляет следов. Он может подменять код запущенного процесса на вредоносный. Например, создавать фейковые окна браузера и воровать пароли. Метод немного похож на старый и ныне уже не опасный способ "хака" Process Hollowing, но теперь код программы не сохраняется на жестком диске, а находится в оперативной памяти.
Были протестированы такие антивирусы и брендмауеры, как Windows Defender, AVG Internet Security, Bitdefender, ESET NOD 32, Symantec Endpoint Protection, McAfee VSE 8.8 Patch 6, Kaspersky Endpoint Security 10, Kasperksy Antivirus 18, Symantec Endpoint Protection 14, Panda и Avast. Исследования проводились в операционных системах Windows 10, Windows 8.1 и Windows 7 SP1. Однако воспользоваться методом "злого двойника" начинающие хакеры не смогут. Аналитики enSilo Евгений Коган и Тал Либерман объяснили, что он требует глубоких знаний внутренних механизмов AVS-сканеров. Кроме того, обновление Windows 10 Fall Creators Update уже способно "чувствовать" применение Process Doppelganging. Работа ОС сразу завершается "экраном смерти", но лучше уже потерять некоторые наработки, чем иметь инфицированную систему.
Ранее портал "Знай.ua" сообщал о вирусе, охотящемся на пароли владельцев смартфонов