Исследователи обнаружили вирус в MBR Windows NT. Об этом молчали 16 лет. Что скажете?
Портал The Hacker News сообщает об обнаружении уязвимости в загрузчике Windows, которая позволяет запускать исполняемый код так, что он не определяется антивирусными программами, при этом эксплоит не оставляет следов в файловой системе.
Технология, использованная в эксплоите, получила название Process Doppelgänging (от «доппельгангер» - «двойник»), и использует технологию NTFS Transactions для сокрытия следов и запуска малвари. Общая схема эксплоита выглядит так:
На первом этапе создается транзакция NTFS на изменение какого-либо легитимного файла Windows, его тело заменяется на вредоносный код. Транзакция не закрывается.
Второй этап - создание копии измененного файла в памяти (memory section). В память попадает вредоносный код, при этом, так как не было фактического обращения к файловой системе, антивирусы не реагируют на обращение к ФС.
Третий этап - откат транзакции NTFS. Файл не менялся, следов на диске нет, но в памяти уже засел зловред.
Четвертый этап - вызов загрузчика Windows с помощью вызова, создающего процесс из секции памяти, созданной из исполняемого файла (ZwCreateProcess), в котором по факту находится вредоносный код. Алгоритмы сканера антивируса реагируют, но читают образ файла с диска, а там никто ничего не менял, и процесс запускается на выполнение.
Разработчики утверждают, что на текущий момент данный эксплоит нельзя заблокировать, но антивирусные решения могут быть обновлены для обнаружения атак через данный метод. На текущий момент уязвимость существует во всех версиях Windows, начиная с Windows XP и заканчивая последней версией Windows 10 Fall Creators Update.
Пофиксят
Похеру.
Это уже лет 8 как известно
Это не вирус, а дыра в безопасности
Не знаю. Винду не пользую…
Я не знаю. Тоже мучилась этим вопросом. Помогла девушка в вконтакте. ❗ id340559210
- Батя моего друга думает что Windows вирус! Как его уговорить что это не вирус? Крч у него там проблема с прогой возникла ошибку все выдавала, висла винда и он подумал что винда вирус!
- Какие вы обнаружили минусы / недостатки / неудобства после установки 11-й Windows? Думаю установить 11-тую, но не знаю толком про неё. В обзорах рассказывают всё кроме того чего мне нужно, а именно недочётов и тому подобное Вот например, вроде в 11-й убрали возможность файл перетаскивать на панель задач верно?
- Есть парень, 30+ лет он 15 лет сидит за компом, но не умеет даже переустановить винду не говоря про более сложный ремонт Ничего не понимает в программировании. Что можно сказать об этом парне?
- Играет ли роль в каком формате стоит загрузочная флешка с виндовс, в mbr или gpt? Можно ли с флешки mbr установить gpt? Или важно только то в каком формате будет жесткий диск на который ставиься винда?