Троян GootKit нашел интересный способ обхода Защитника Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32
...
Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

  1. Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
  2. Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
  3. Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
  4. Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
  5. Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фишинговые сайты под Минобрнауки крали аккаунты учащихся на Госуслугах
Яков Шпунт 25 Ноября 2025 - 10:00
ФишингУтечки информацииУмышленные утечки информацииКража данных Домашние пользователи
Фишинговые сайты под Минобрнауки крали аккаунты учащихся на Госуслугах

Специалисты выявили сеть фишинговых ресурсов, в которую входили сайты, маскирующиеся под официальные страницы Минобрнауки и Госуслуг. Основной целевой аудиторией кампании были ученики. Злоумышленники распространяли ссылки разными каналами, используя доменные имена со словом minobrnauki. Все выявленные ресурсы уже направлены на блокировку.

Как сообщили в компании Angara MTDR, цель атак заключалась в сборе персональных данных и краже аккаунтов учащихся на Госуслугах.

Для доступа к поддельному сайту пользователю предлагалось пройти авторизацию, указав ФИО, номер телефона, ИНН, СНИЛС или паспортные данные. Форма входа полностью копировала интерфейс Личного кабинета учащегося.

После ввода данных происходило перенаправление на второй мошеннический сайт, имитирующий Портал Госуслуг. Там пользователю демонстрировалось «подозрительное» входное событие с нового устройства, и предлагалось «восстановить доступ» через телефонный звонок или телеграм-бота. На этом этапе и происходила кража учётных данных, включая второй фактор.

При этом, как подчеркнули в компании, мошенники автоматически перехватывали подтверждающие коды из СМС: система подставляла полученные цифры в нужное поле без участия пользователя. Это делает схему особенно опасной.

Angara MTDR направила все выявленные сайты на блокировку в Национальный координационный центр по компьютерным инцидентам (НКЦКИ).

В августе аналогичную фишинговую кампанию пресекла компания F6. Тогда злоумышленники нацеливались на пользователей сервиса «Электронный дневник».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Уязвимость в 7-Zip начали активно эксплуатировать: патч уже доступен
Новость
Уязвимость в 7-Zip начали активно эксплуатировать: патч уже...
Microsoft выпустила срочный фикс после сбоя в Windows Recovery
Новость
Microsoft выпустила срочный фикс после сбоя в Windows Recove...
Клиенты RED Security SOC смогут получить компенсацию до 5 млн рублей
Новость
Клиенты RED Security SOC смогут получить компенсацию до 5 мл...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.