Новий вид вірусу не залишає слідів і паразитує на внутрішніх механізмах AVS-сканерів. Про це програмістській спільноти розповіли на конференції Black Hat Europe 2017. Шкідлива програма здатна обійти всі існуючі системи протидії вірусам. Тестові дослідження показали, що вони просто не бачать загрозу. Як повідомляє портал Hyser, новий тип вірусів отримав ім'я Process Doppelganging. Як відзначають фахівці, освоїти таку систему обходу захисту зможе далеко не кожен хакер.
Виявилося, Process Doppelganging використовує вразливі місця стандартної файлової системи Windows, NTFS, і при цьому він не залишає слідів. Він може підміняти код запущеного процесу на шкідливий. Наприклад, створювати фейкові вікна браузера і красти паролі. Метод трохи схожий на старий і нині вже не небезпечний спосіб "хака" Process Hollowing, але тепер код програми не зберігається на жорсткому диску, а знаходиться в оперативній пам'яті.
Були протестовані такі антивіруси і брендмауери, як Windows Defender, AVG Internet Security, Norton, ESET NOD 32, Symantec Endpoint Protection, McAfee VSE 8.8 Patch 6, Kaspersky Endpoint Security 10, Kasperksy Antivirus 18, Symantec Endpoint Protection 14, Panda і Avast. Дослідження проводилися в операційних системах Windows 10, Windows 8.1 і Windows 7 SP1. Однак скористатися методом "злого двійника" початківці хакери не зможуть. Аналітики enSilo Євген Коган і Тал Ліберман пояснили, що він вимагає глибоких знань внутрішніх механізмів AVS-сканерів. Крім того, оновлення Windows 10 Fall Creators Update вже здатна "відчувати" застосування Process Doppelganging. Робота ОС відразу завершується "екраном смерті", але краще вже втратити деякі напрацювання, ніж мати інфіковану систему.
Раніше портал "Знай.ua" повідомляв про вірус, що полює на паролі власників смартфонів