Um bug permite que vírus infectem computadores Windows

Uma equipe de pesquisadores descobriu uma nova técnica pela qual o malware pode ignorar os controles antivírus e entrar nos computadores Windows. Dessa forma, conseguindo infectar o computador em questão. Foi chamado de processo de Doppelgänging e é uma nova técnica que tira proveito de uma função do Windows e do carregador de processos.

Crash permite que vírus infectem computadores com Windows

Os pesquisadores apresentaram suas descobertas na conferência de segurança Black Hat de 2017. Esse processo parece funcionar em todas as versões do Windows. Além disso, essa técnica de evasão de malware se assemelha ao Process Hollowing descoberto há alguns anos atrás.

Como funciona a Doppelgänging no Windows

Nesse caso, a técnica é diferente de Process Hollowing. Principalmente porque todos os computadores e antivírus já têm proteção contra eles. Nesse caso, o processo tem uma abordagem diferente, embora o objetivo seja o mesmo. Transações do Windows NTFS e uma implementação mais antiga do gerenciador de processos do sistema operacional são usadas. Este gerenciador foi originalmente projetado para Windows XP, mas todas as versões possuem.

As transações NTFS permitem criar, modificar, renomear e excluir arquivos e diretórios particionados. Isso dá aos desenvolvedores a opção de criar rotinas de saída. Primeiro, o ataque processa um executável válido. Mas, então, substitui-o por um arquivo malicioso. Ele cria uma seção de memória desse arquivo malicioso e exclui as alterações feitas no válido. A seção de memória é aquela que realmente possui o código malicioso, mas consegue ser invisível ao antivírus.

Ele conseguiu pular os principais programas antivírus nas diferentes análises realizadas pelos pesquisadores. Portanto, este é um problema que precisa ser corrigido. Parece que todas as versões do Windows, com exceção da Fall Creators Update, são vítimas dessa possível falha.