Durch einen Fehler können Viren Windows-Computer infizieren

Ein Forscherteam hat eine neue Technik entdeckt, mit der Malware Antiviren-Steuerelemente umgehen und auf Windows-Computer zugreifen kann. Auf diese Weise kann der betreffende Computer infiziert werden. Es wurde als Doppelgänger- Prozess bezeichnet und ist eine neue Technik, die eine Windows-Funktion und den Prozesslader nutzt.

Durch Absturz können Viren Windows-Computer infizieren

Die Forscher haben ihre Ergebnisse auf der Black Hat-Sicherheitskonferenz 2017 vorgestellt. Dieser Prozess scheint auf allen Windows-Versionen zu funktionieren. Außerdem ähnelt diese Malware-Umgehungstechnik dem vor einigen Jahren entdeckten Process Hollowing.

Wie Doppelgänger in Windows funktionieren

In diesem Fall unterscheidet sich die Technik vom Prozessaushöhlen. Hauptsächlich, weil alle Computer und Antivirenprogramme bereits geschützt sind. In diesem Fall verfolgt der Prozess einen anderen Ansatz, obwohl das Ziel dasselbe ist. Es werden Windows NTFS-Transaktionen und eine ältere Implementierung des Betriebssystem-Prozessmanagers verwendet. Dieser Manager wurde ursprünglich für Windows XP entwickelt, aber alle Versionen haben ihn.

Mit NTFS-Transaktionen können Sie partitionierte Dateien und Verzeichnisse erstellen, ändern, umbenennen und löschen. Dies gibt Entwicklern die Möglichkeit, Exit-Routinen zu erstellen. Zunächst verarbeitet der Angriff eine gültige ausführbare Datei. Aber dann wird es mit einer schädlichen Datei überschrieben. Es erstellt einen Speicherabschnitt aus dieser schädlichen Datei und löscht die Änderungen, die an der gültigen vorgenommen wurden. Der Speicherbereich enthält tatsächlich den Schadcode, ist jedoch für Antivirenprogramme unsichtbar.

Es ist gelungen, die wichtigsten Antivirenprogramme in den verschiedenen von den Forschern durchgeführten Analysen zu überspringen. Das ist also ein Problem, das behoben werden muss. Es scheint, dass alle Windows-Versionen mit Ausnahme von Fall Creators Update Opfer dieses möglichen Fehlers sind.