«Антивирусы ничего не заметят»: программисты поведали о новом методе взлома Windows
Компания enSilo презентовала новый метод, который позволяет без особой трудности обойти любую защиту на ПК. Средства безопасности не подозревают, что компьютер подвергается опасности, сообщает comandir.com.
По утверждению профессионалов, вредный код не сохраняется на диске устройств, а находится в оперативной памяти, в этом и заключается причина, по которой антивирусы не могут отследить его. Process Doppelganging напоминает известную атаку Process Hollowing. Взлом происходит незаметно для анивирусных программ, так как программисты используют обычные механизмы файловой системы ОС (NTFS).
Суть работы программы, названной Process Doppelganging, состоит в подмене кода запущенного процесса на вредный. Код регулярно находится в оперативной памяти. В связи с этим ни один антивирус не способен распознать хакерскую атаку. С помощью вредной программы вируса, которая называется Process Doppelganging, можно подменить окно браузера и украсть пароль пользователя. При помощи Process Doppelganging сотрудникам enSilo удалось обойти защиту антивирусов «Лаборатории Касперского», Bitdefender, ESET, Symantec, McAfee, Windows Defender, AVG, Avast, Qihoo 360, Panda и Volatility (используется киберкриминалистами) на компьютерах с Windows 10, 8.1 и 7 SP1. Таким методом можно получить личные данные пользователя ПК.