Una fallada permet als virus infectar equips windows

Un equip d'investigadors ha descobert una nova tècnica per la qual el malware podria aconseguir saltar-se els controls dels antivirus i entrar en els equips Windows. D'aquesta manera, aconseguint infectar l'equip en qüestió. S'ha batejat com el procés Doppelgänging i és una nova tècnica que s'aprofita d'una funció de Windows i de l'carregador de processos.

Una fallada permet als virus infectar equips Windows

Els investigadors han presentat les seves troballes en la conferència de seguretat Black Hat 2017. Aquest procés sembla funcionar en totes les versions de Windows. A més, aquesta tècnica d'evasió de malware s'assembla a l'Process Hollowing descobert fa uns anys.

Com funciona Doppelgänging a Windows

En aquest cas, la tècnica és diferent a Process Hollowing. Principalment perquè tots els equips i antivirus ja compten amb protecció davant la mateixa. En aquest cas, el procés té un enfocament diferent, encara que l'objectiu és el mateix. Es fa ús de Windows NTFS Transactions i d'una implementació antiga de l'gestor de processos de sistema operatiu. Dit gestor va ser dissenyat originalment per a Windows XP, però totes les versions en tenen.

NTFS Transactions permet crear, modificar, canviar el nom i eliminar arxius i directoris en particions. Això dóna l'opció als desenvolupadors de crear rutines de sortida. En primer lloc l'atac processa un executable vàlid. Però, a continuació procedeix a sobreescriure amb un arxiu maliciós. Crea una secció de memòria des d'aquest arxiu maliciós i elimina els canvis que es realitzen en el vàlid. La secció de memòria és la que realment té el codi maliciós, però aconsegueix ser invisible per als antivirus.

Ha aconseguit saltar-se els principals antivirus en els diferents anàlisis dutes a terme pels investigadors. Pel que es tracta d'un problema que ha de solucionar-se. Sembla que totes les versions de Windows, a excepció de Fall Creators Update són víctimes d'aquest possible error.