Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32

Домашние пользователи

Windows

Microsoft Windows Defender

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

...

Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Яков Шпунт 27 Марта 2026 - 18:15

Соответствие законодательству РФ Домашние пользователи Защита персональных данных

Жильцы вправе требовать от консьержей неразглашения данных

Первый заместитель председателя комитета Госдумы по строительству и ЖКХ Владимир Кошелев напомнил, что консьержи могут нести ответственность за разглашение информации о жильцах, вплоть до уголовной. Однако это возможно только в том случае, если требование о конфиденциальности прямо закреплено в их должностной инструкции.

Как пояснил депутат в комментарии ТАСС, жители дома могут включить такой пункт в инструкцию консьержа на общем собрании:

«Что касается беспокойства о приватности информации, которой обладает консьерж, то оно решается правилами, закрепленными в должностной инструкции, утвержденной общим собранием. В ней должен быть чётко прописан отдельный пункт о конфиденциальности — запрет на разглашение любой информации о жильцах и их гостях третьим лицам».

Если это требование будет нарушено, консьержа, как напомнил Владимир Кошелев, могут не только уволить, но и привлечь к уголовной ответственности по статье 137 УК РФ («Нарушение неприкосновенности частной жизни»).

Эта статья предусматривает штраф в размере дохода осуждённого за период до полутора лет, либо принудительные работы на срок до двух лет, либо лишение свободы на тот же срок. Если же противоправные действия были совершены с использованием служебного положения, ответственность становится строже.

Недавно по статье 137 УК РФ было передано в суд уголовное дело в отношении жительницы Алтайского края. По версии следствия, она пыталась собрать компрометирующую информацию на своего руководителя, установив диктофон в его служебном кабинете.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!