バグにより、ウイルスがWindowsコンピュータに感染する

研究者のチームは、 マルウェアがウイルス対策コントロールをバイパスしてWindowsコンピュータに侵入する可能性のある新しい手法を発見しました。 このようにして、問題のコンピュータに感染するために管理します。 これはDoppelgängingプロセスと呼ばれ、Windowsの機能とプロセスローダーを利用する新しい手法です。

クラッシュにより、ウイルスがWindowsコンピュータに感染する

研究者たちは2017年のブラックハットセキュリティカンファレンスで調査結果を発表しました。 このプロセスは、Windowsのすべてのバージョンで機能するようです。 また、このマルウェア回避手法は、数年前に発見されたProcess Hollowingに似ています。

WindowsでのDoppelgängingの動作

この場合、手法はプロセス空洞化とは異なります。 主な理由は、すべてのコンピュータとアンチウイルスがすでにそれを保護しているためです。 この場合、目的は同じですが、プロセスのアプローチは異なります。 Windows NTFSトランザクションとオペレーティングシステムプロセスマネージャーの古い実装が使用されます。 このマネージャはもともとWindows XP用に設計されましたが、すべてのバージョンにあります。

NTFSトランザクションを使用すると、パーティション分割されたファイルとディレクトリを作成、変更、名前変更、および削除できます。 これにより、開発者は出口ルーチンを作成することができます。 まず、攻撃は有効な実行可能ファイルを処理します。 しかし、その後、悪意のあるファイルで上書きします。 この悪意のあるファイルからメモリセクションを作成し、有効なファイルに加えられた変更を削除します。 メモリセクションは実際に悪意のあるコードが含まれているセクションですが、 アンチウイルスからは見えません 。

研究者が実施したさまざまな分析では、主要なウイルス対策プログラムをスキップすることに成功しました 。 したがって、これは修正する必要がある問題です。 Fall Creators Updateを除くすべてのバージョンのWindowsが 、この失敗の可能性の犠牲になっているようです。