Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32

Домашние пользователи

Windows

Microsoft Windows Defender

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

...

Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 03 Декабря 2021 - 09:16

Windows Домашние пользователи Корпорации Microsoft

Microsoft пытается отговорить людей от установки Chrome в Windows

Microsoft всегда скептически относилась к сторонним браузерам, а в последнее время политику компании в отношении использования Edge можно назвать агрессивной. Теперь техногигант решил пойти ещё дальше: при попытке скачать Google Chrome пользователя пытаются отговорить от установки популярного интернет-обозревателя.

Само собой, задача Microsoft — заставить как можно больше людей использовать «родной» для Windows браузер Microsoft Edge. Раньше шутили, что Internet Explorer нужен только для того, чтобы скачать Opera или Chrome, теперь же это справедливо и для Edge.

Именно поэтому корпорация решила бороться с таким подходом в операционных системах Windows 10 и Windows 11. Теперь при попытке скачать Chrome в Edge (например, если пользователь просто зайдёт на страницу загрузки браузера) выдаётся одно из сообщений, намекающих на несостоятельность Google Chrome и отмечающих преимущества Microsoft Edge.

Издание Neowin отметило три таких уведомления, гласящих следующее:

«Microsoft Edge работает по той же технологии, что и Chrome, но при этом располагает доверием Microsoft».

«Этот браузер (намекая на Chrome — прим. AM) настолько застрял в 2008 году! Знаете, какой браузер более современный? Microsoft Edge».

«"Ненавижу экономить", — никто и никогда так не говорил. Microsoft Edge — лучший браузер для онлайн-покупок».

В прошлом году пользователи столкнулись с похожей ситуацией. Тогда Microsoft начала навязывать Microsoft Edge в меню «Пуск» пользователям Firefox.