漏洞允许黑客在任何Windows版本上劫持防病毒软件

发布于 2017-03-23 22:57 阅读量:488

  安全公司 Cybellum 发现了一个新的零日攻击,使得黑客可以使用存在于所有 Windows 版本中的漏洞来控制在 Windows 系统上运行的防病毒软件,这个零日漏洞从 Windows XP 开始存在,一直延续到最新的 Windows 10。

  该公司今天发布的博客中解释说,大多数主要的防病毒解决方案都受到此漏洞的影响,包括 Avast,AVG,Avira,Bitdefender,趋势科技,Comodo,ESET,F-Secure,卡巴斯基,McAfee,熊猫和诺顿。

  这个零日漏洞被称为 DoubleAgent,该漏洞利用了微软自己在 Windows 中提供的合法工具,并被命名为“Microsoft Application Verifier”(微软应用程序验证器),原本的目的为了帮助开发人员在应用程序中找到错误,该工具可以被劫持,用自定义验证器替换标准验证器,这使攻击者能够完全控制应用程序。

  之后,下一步是为属于安全软件的进程注册一个受损害的 DLL,从而为更多恶意活动打开门户,例如安装后门程序,添加排除,删除文件或甚至以典型的勒索软件进行攻击,加密受害者文件。

  Cybellum 表示已经通知了受影响的安全公司,但到目前为止,只有 Malwarebytes 和 AVG 发布了修复补丁。更糟糕的是,即使在用户重新启动系统或安装修补程序和更新后,DoubleAgent 也具有注册代码的功能,从而非常难以删除恶意软件。通过一种新的持久化技术,DoubleAgent 绕过了 AV,NGAV 和其他反病毒解决方案,并且使攻击者能够在没有时间限制的情况下执行攻击。

上一页:漏洞允许黑客在任何Windows版本上劫持防病毒软件

下一页:《皇室战争》游戏设计师:顶级卡牌竞技游戏的‘平衡之道’