Вредонос Process Doppelgänging не обнаруживается антивирусами

Специалисты компании enSilo на Black Hat Europe 2017 представили новый метод заражения компьютеров, позволяющий избежать обнаружение антивирусными программами, которые сканируют файловую систему в реальном времени.

Методика относится к так называемым безфайловым атакам. Суть работы программы, названной Process Doppelgänging, состоит в подмене кода запущенного процесса на вредоносный. С помощью вируса можно подменять окна браузера и таким образом красть пароли пользователей. При этом, антивирусные программы не могут обнаружить, что компьютер подвергается атаке, потому что вредоносный код не сохраняется на диске, а постоянно находится в оперативной памяти.

Как отмечают специалисты, их исследование имеет большое значение для корпоративной безопасности, так как многие предприятия полагаются на защиту, предлагаемую продуктами AV и NGAV. Process Doppelgänging демонстрирует, что эти популярные методы защиты можно обойти.

Как утверждают авторы вируса, они протестировали возможность работы новой техники на операционных системах Windows от Vista и более новых.