버그로 바이러스가 Windows 컴퓨터를 감염시킬 수 있음

연구팀은 맬웨어가 안티 바이러스 제어를 우회하여 Windows 컴퓨터에 들어갈 수 있는 새로운 기술을 발견했습니다. 이런 식으로 문제의 컴퓨터를 감염 관리합니다. Doppelgänging 프로세스라고 불리며 Windows 기능과 프로세스 로더를 이용하는 새로운 기술입니다.

충돌로 바이러스가 Windows 컴퓨터를 감염시킬 수 있음

연구원들은 2017 년 Black Hat 보안 컨퍼런스 에서 조사 결과를 발표했습니다. 이 프로세스는 모든 버전의 Windows 에서 작동하는 것 같습니다. 또한이 맬웨어 회피 기술은 몇 년 전에 발견 된 Process Hollowing과 유사합니다.

Windows에서 Doppelgänging 작동 방식

이 경우이 기술은 공정 중공과 다릅니다. 주로 모든 컴퓨터와 바이러스 백신에 이미 보호되어 있기 때문입니다. 이 경우 목표는 동일하지만 프로세스의 접근 방식이 다릅니다. Windows NTFS 트랜잭션 및 이전 버전의 운영 체제 프로세스 관리자가 사용됩니다. 이 관리자는 원래 Windows XP 용으로 설계되었지만 모든 버전에 있습니다.

NTFS 트랜잭션을 사용하면 파티션 된 파일 및 디렉토리를 생성, 수정, 이름 변경 및 삭제할 수 있습니다. 이를 통해 개발자는 종료 루틴을 작성할 수 있습니다. 먼저 공격이 유효한 실행 파일을 처리합니다. 그러나 악성 파일로 덮어 씁니다. 이 악성 파일에서 메모리 섹션을 만들고 유효한 파일에서 변경 한 내용을 삭제합니다. 메모리 섹션은 실제로 악성 코드를 가지고 있지만 안티 바이러스에서는 보이지 않습니다.

연구원들이 수행 한 다양한 분석에서 주요 안티 바이러스 프로그램을 건너 뛰었다. 따라서이 문제를 해결해야합니다. Fall Creators Update를 제외한 모든 버전의 Windows 는 이러한 가능한 오류의 피해자 인 것으로 보입니다.