ข้อผิดพลาดช่วยให้ไวรัสติดไวรัสคอมพิวเตอร์ Windows

ทีมนักวิจัยค้นพบ เทคนิคใหม่ที่มัลแวร์สามารถเลี่ยงการควบคุมไวรัสและเข้าสู่คอมพิวเตอร์ Windows ด้วยวิธีนี้การจัดการการติดคอมพิวเตอร์ที่เป็นปัญหา มันได้รับการขนานนามว่าเป็นกระบวนการ Doppelgänging และเป็นเทคนิคใหม่ที่ใช้ประโยชน์จากฟังก์ชั่นของ Windows และตัวโหลดกระบวนการ

Crash อนุญาตให้ไวรัสแพร่เชื้อคอมพิวเตอร์ Windows

นักวิจัยได้นำเสนอสิ่งที่ค้นพบในการ ประชุมด้านความปลอดภัย Black Hat ปี 2017 กระบวนการนี้ดูเหมือนว่าจะ ทำงานกับ Windows ทุกรุ่น นอกจากนี้เทคนิคการหลีกเลี่ยงมัลแวร์นี้คล้ายกับ Process Hollowing ที่ค้นพบเมื่อไม่กี่ปีที่ผ่านมา

Doppelgängingทำงานอย่างไรใน Windows

ในกรณีนี้เทคนิคแตกต่างจาก Process Hollowing สาเหตุหลักมาจากคอมพิวเตอร์และโปรแกรมป้องกันไวรัสทั้งหมดมีการป้องกันอยู่แล้ว ในกรณีนี้กระบวนการมีวิธีการที่แตกต่างกันแม้ว่าวัตถุประสงค์จะเหมือนกัน ธุรกรรม Windows NTFS และการใช้งานตัวจัดการกระบวนการของระบบปฏิบัติการรุ่นเก่ากว่าจะถูกนำมาใช้ เดิมผู้จัดการนี้ได้รับการออกแบบสำหรับ Windows XP แต่ทุกรุ่นมี

ธุรกรรม NTFS ช่วยให้คุณสามารถสร้างแก้ไขเปลี่ยนชื่อและลบไฟล์และไดเรกทอรีที่แบ่งพาร์ติชันได้ สิ่งนี้ทำให้นักพัฒนามีตัวเลือกในการสร้างรูทีนทางออก ก่อนการโจมตีประมวลผลปฏิบัติการที่ถูกต้อง แต่มัน จะเขียนทับด้วยไฟล์ที่เป็นอันตราย มันสร้างส่วนหน่วยความจำจากไฟล์ที่เป็นอันตรายนี้และลบการเปลี่ยนแปลงที่เกิดขึ้นในส่วนที่ถูกต้อง ส่วนหน่วยความจำคือส่วนที่มีรหัสที่เป็นอันตรายจริง ๆ แต่จะจัดการให้มองไม่เห็นโปรแกรมป้องกันไวรัส

มีการจัดการเพื่อข้ามโปรแกรมป้องกันไวรัสหลักในการวิเคราะห์ต่าง ๆ ที่ดำเนินการโดยนักวิจัย ดังนั้นนี่คือปัญหาที่ต้องแก้ไข ดูเหมือนว่า Windows ทุก รุ่นที่ มีข้อยกเว้นของ Fall Builders Update จะตกเป็นเหยื่อของความล้มเหลวที่อาจเกิดขึ้นได้