Троян GootKit нашел интересный способ обхода Защитника Windows

Екатерина Быстрова 09 Сентября 2019 - 11:32

Домашние пользователи

Windows

Microsoft Windows Defender

Трояны

Утечки информации

Умышленные утечки информации

Кража данных

Взлом онлайн-банка

...

Троян GootKit нашел интересный способ обхода Защитника Windows

Поскольку Защитник Windows (Windows Defender) совершенствуется и все глубже интегрируется в Windows 10, авторы вредоносных программ ищут пути обхода этого встроенного антивируса. Взять, например, банковский троян GootKit, который использует обход UAC и команды WMIC для занесения своего файла в «белый список» Защитника Windows.

Основная задача GootKit — выкрасть учетные данные от онлайн-банкинга. Для этого троян перенаправляет жертв на поддельные сайты, замаскированные под банковские.

Исследователь вредоносных программ Виталий Кремец проанализировал образец GootKit, который обнаружил JamesWT. В ходе анализа выяснилось, что зловред пытается обойти детектирование Windows Defender, исключив путь к своему файлу из списка проверяемых.

Однако для начала вредонос проверяет, работает ли Защитник Windows в системе. Для этого выполняется следующая команда:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName,productState /format:list

Если антивирус активирован, троян выполняет команду, создающую определённое значение в реестре Windows, что помогает файлу C:\Windows\system32\fodhelper.exe обойти UAC.

Весь алгоритм GootKit выглядит следующим образом:

Создаётся значение в реестре HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command "DelegateExecute"=0. Оно необходимо для обхода контроля учетных записей.
Создаётся значение HKCU\\Software\\Classes\\ms-settings\\shell\\open\\command, указывающее на команду, которая занесёт путь к вредоносному файлу в «белый список». Вот эта команда: WMIC /Namespace:\\root\Microsoft\Windows\Defender class MSFT_MpPreference call Add ExclusionPath=\"' + excludeDir + '\".
Выполняется C:\Windows\System32\fodhelper.exe, что запускает вышеозначенную WMIC-команду. При этом никаких уведомлений со стороны UAC не выводится.
Вредонос пингует loopback-адрес 7 раз, чтобы создать определённую задержку.
Удаляется значение с командой WMIC из реестра.

После этого Защитник Windows уже не будет проверять файл трояна.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 11 Ноября 2025 - 15:29

Security Vision 5 VM Security Vision a-SGRC Security Vision CRS Security Vision IRP Security Vision SGRC Security Vision SOC Security Vision КИИ Корпорации Сетевая безопасность Security Vision

В платформе Security Vision расширили возможности автоматизации

Вышел новый релиз платформы Security Vision, в котором разработчики сосредоточились на повышении удобства повседневной работы специалистов, расширении возможностей автоматизации и учёте требований регуляторов.

Навигация и интерфейс

Теперь разделы «История запуска коннекторов» и «Расписания запуска коннекторов» объединены внутри модуля «Коннекторы». Обновлены представления «Дерево» и «Таблица», а также добавлены настройки по умолчанию для кратких и полных карточек в справочниках — интерфейс стал лаконичнее, а работа с повторяющимися элементами быстрее.

Аналитика и визуализация

В системе появилось версионирование виджетов — при добавлении их в дашборды или отчёты автоматически используется актуальная версия. Для популярных типов графиков и диаграмм теперь можно использовать данные блока как источник переменной, что делает визуализацию более гибкой.

Также добавлены новые операции с переменными, включая сдвиг дат (например, к началу или концу недели и месяца) и кодирование/декодирование Base64.

Рабочие процессы и отчёты

В действии «Создать отчёт» появился выбор между шаблонным документом и созданием отчёта с нуля в редакторе. Это ускоряет подготовку материалов и сокращает количество шаблонов, которые нужно сопровождать.

Теперь можно формировать отчёты из обычных текстовых файлов с тегами — система автоматически подставляет нужные данные. Также расширены возможности переопределения входных параметров в рабочих процессах, что делает их более универсальными.

Интеграции и коннекторы

В HTTP-коннекторе теперь можно указывать произвольный Content-Type, включая форматы для CSV-интеграций. В коннекторе «Почта» реализован поиск по регулярным выражениям внутри архивов вложений — нужные файлы можно извлекать без ручной распаковки.

Безопасность и контроль

В журнале аудита у каждой записи теперь есть уникальный идентификатор события — это помогает соответствовать требованиям по журналированию. Появилось предупреждение о скором завершении сессии и настройка режима единственной активной пользовательской сессии, что усиливает контроль доступа.

Администрирование и установка

В мастере установки теперь можно задать путь для сохранения логов развёртывания — это упрощает диагностику и анализ установки как на тестовых, так и на промышленных стендах.

Обновление делает Security Vision более удобной для специалистов и ближе к требованиям корпоративной и регуляторной безопасности.