Bug memungkinkan virus menginfeksi komputer Windows

Sebuah tim peneliti telah menemukan teknik baru di mana malware dapat melewati kontrol antivirus dan memasuki komputer Windows. Dengan cara ini, mengelola untuk menginfeksi komputer tersebut. Ini telah dijuluki proses Doppelgänging dan merupakan teknik baru yang memanfaatkan fungsi Windows dan pemuat proses.

Crash memungkinkan virus menginfeksi komputer Windows

Para peneliti telah mempresentasikan temuan mereka di konferensi keamanan Black Hat 2017. Proses ini tampaknya berfungsi pada semua versi Windows. Juga, teknik penghindaran malware ini menyerupai Proses Hollow yang ditemukan beberapa tahun yang lalu.

Cara kerja Doppelgänging di Windows

Dalam hal ini, tekniknya berbeda dari Proses Hollow. Terutama karena semua komputer dan antivirus sudah memiliki perlindungan terhadapnya. Dalam hal ini, prosesnya memiliki pendekatan yang berbeda, walaupun tujuannya sama. Transaksi Windows NTFS dan implementasi yang lebih lama dari manajer proses sistem operasi digunakan. Manajer ini awalnya dirancang untuk Windows XP, tetapi semua versi memilikinya.

Transaksi NTFS memungkinkan Anda membuat, mengubah, mengganti nama, dan menghapus file dan direktori yang dipartisi. Ini memberi pengembang opsi untuk membuat keluar rutinitas. Pertama, serangan memproses eksekusi yang valid. Tapi kemudian ia menimpanya dengan file jahat. Itu menciptakan bagian memori dari file berbahaya ini dan menghapus perubahan yang dibuat dalam yang valid. Bagian memori adalah salah satu yang benar-benar memiliki kode berbahaya, tetapi berhasil tidak terlihat oleh antivirus.

Ini telah berhasil melewati program antivirus utama dalam berbagai analisis yang dilakukan oleh para peneliti. Jadi ini adalah masalah yang perlu diperbaiki. Tampaknya semua versi Windows, dengan pengecualian Fall Creators Update adalah korban dari kemungkinan kegagalan ini.