Door een bug kunnen virussen Windows-computers infecteren

Een team van onderzoekers heeft een nieuwe techniek ontdekt waarmee malware antiviruscontroles kan omzeilen en Windows-computers kan binnendringen. Op deze manier erin slagen de betreffende computer te infecteren. Het wordt het Doppelgänging- proces genoemd en is een nieuwe techniek die profiteert van een Windows-functie en de proceslader.

Met Crash kunnen virussen Windows-computers infecteren

De onderzoekers hebben hun bevindingen gepresenteerd op de Black Hat-beveiligingsconferentie 2017. Dit proces lijkt te werken op alle versies van Windows. Ook lijkt deze techniek voor het ontwijken van malware op de Process Hollowing die een paar jaar geleden is ontdekt.

Hoe Doppelgänging werkt in Windows

In dit geval verschilt de techniek van Process Hollowing. Vooral omdat alle computers en antivirusprogramma's er al bescherming tegen hebben. In dit geval heeft het proces een andere aanpak, hoewel het doel hetzelfde is. Windows NTFS-transacties en een oudere implementatie van de besturingssysteemprocesmanager worden gebruikt. Deze manager is oorspronkelijk ontworpen voor Windows XP, maar alle versies hebben het.

Met NTFS-transacties kunt u gepartitioneerde bestanden en mappen maken, wijzigen, hernoemen en verwijderen. Dit geeft ontwikkelaars de mogelijkheid om exit-routines te maken. Ten eerste verwerkt de aanval een geldig uitvoerbaar bestand. Maar daarna wordt het overschreven door een schadelijk bestand. Het maakt een geheugensectie van dit kwaadaardige bestand en verwijdert de wijzigingen die in het geldige zijn aangebracht. De geheugensectie is degene die daadwerkelijk de schadelijke code heeft, maar het is onzichtbaar voor antivirus.

Het is erin geslaagd de belangrijkste antivirusprogramma's over te slaan in de verschillende analyses die door de onderzoekers zijn uitgevoerd. Dit is dus een probleem dat moet worden opgelost. Het lijkt erop dat alle versies van Windows, met uitzondering van Fall Creators Update, het slachtoffer zijn van deze mogelijke storing.