Троян GootKit нашел интересный способ обхода Защитника Windows
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32
...
Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

  1. Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
  2. Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
  3. Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
  4. Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
  5. Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Минфин РФ отказался от идеи вернуть НДС на отечественный софт
Татьяна Никитина 11 Ноября 2025 - 17:18
Соответствие законодательству РФ Общее Соответствие требованиям регуляторов
Минфин РФ отказался от идеи вернуть НДС на отечественный софт

В Минфине России еще раз проработали вопрос об отмене льгот по НДС для вендоров реестрового софта и решили отложить эту меру бессрочно. Об этом объявила на CNews FORUM 2025 первый замминистра финансов Ирина Окладникова.

По словам представителя министерства, от данной инициативы их заставило отказаться дружное сопротивление ИТ-отрасли.

Когда Минфину представили перспективы роста налоговой нагрузки (в 5-7 раз) на участников активно развивающегося рынка в случае отмены НДС с 1 января, там передумали и одобрили изъятие этого пункта из пакета поправок к Налоговому кодексу, уже принятых в первом чтении Госдумой.

«Наша задача — собрать дополнительные доходы, — цитирует ТАСС выступление Окладниковой. — Мы пытаемся собрать доходы отовсюду, откуда можем, и конечно, любые льготы у нас всегда вызывают вопросы, особенно введенные много лет назад. Знаете, на удивление, у нас в новом пакете было очень много предложений, но самый активный отклик был как раз на НДС для российского программного обеспечения».

О готовности российских властей отказаться от возврата НДС на софт, внесенный в реестр Минцифры, стало известно в прошлом месяце. Сторонники сохранения этой льготы указывали на высокую значимость ИТ для технологической независимости страны и цифровой трансформации экономики.

По оценкам АНО «Цифровая экономика», доля ИТ в общем объеме ВВП по итогам 2024 года составила 6%. На каждый рубль господдержки отрасль возвращает в бюджет два.

Вместе с тем эксперты фиксируют снижение темпов роста российского ИТ-рынка. Введение НДС на сделки с реестровым софтом привело бы к повышению цен на такие продукты (по оценкам, до 35%) и породило еще один сдерживающий фактор для развития внутреннего рынка.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Android блокирует свыше 10 млрд мошеннических сообщений в месяц
Новость
Android блокирует свыше 10 млрд мошеннических сообщений в ме...
ИТ-парк и Security Vision объединят усилия для развития ИБ в Татарстане
Новость
ИТ-парк и Security Vision объединят усилия для развития ИБ в...
64% россиян, зарабатывающих на хобби, столкнулись со взломом аккаунта
Новость
64% россиян, зарабатывающих на хобби, столкнулись со взломом...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.