Un bug consente ai virus di infettare i computer Windows

Un team di ricercatori ha scoperto una nuova tecnica mediante la quale il malware potrebbe bypassare i controlli antivirus e accedere ai computer Windows. In questo modo, riuscendo a infettare il computer in questione. È stato soprannominato il processo Doppelgänging ed è una nuova tecnica che sfrutta una funzione di Windows e il caricatore di processo.

L'arresto anomalo consente ai virus di infettare i computer Windows

I ricercatori hanno presentato i loro risultati alla conferenza sulla sicurezza di Black Hat 2017. Questo processo sembra funzionare su tutte le versioni di Windows. Inoltre, questa tecnica di evasione del malware ricorda il processo di svuotamento scoperto alcuni anni fa.

Come funziona Doppelgänging in Windows

In questo caso, la tecnica è diversa da Process Hollowing. Soprattutto perché tutti i computer e antivirus hanno già protezione contro di esso. In questo caso, il processo ha un approccio diverso, sebbene l'obiettivo sia lo stesso. Vengono utilizzate le transazioni Windows NTFS e un'implementazione precedente del gestore processi del sistema operativo. Questo gestore è stato originariamente progettato per Windows XP, ma tutte le versioni lo hanno.

Transazioni NTFS consente di creare, modificare, rinominare ed eliminare file e directory partizionati. Ciò offre agli sviluppatori la possibilità di creare routine di uscita. Innanzitutto, l'attacco elabora un eseguibile valido. Ma poi procede a sovrascriverlo con un file dannoso. Crea una sezione di memoria da questo file dannoso ed elimina le modifiche apportate a quella valida. La sezione della memoria è quella che ha effettivamente il codice dannoso, ma riesce a essere invisibile all'antivirus.

È riuscito a saltare i principali programmi antivirus nelle diverse analisi condotte dai ricercatori. Quindi questo è un problema che deve essere risolto. Sembra che tutte le versioni di Windows, ad eccezione di Fall Creators Update, siano vittime di questo possibile fallimento.