Сегодня 02 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
В США создали самого маленького в мире свободно летающего робота — в нём нет электроники
Европа технически готова построить суперколлайдер будущего, который будет втрое больше БАКа
Segway выпустила в России электросамокаты с запасом хода до 138 км и разгоном до 80 км/ч
«Жестокая, энергичная и без компромиссов»: впечатления журналистов и 14 минут нового геймплея Doom: The Dark Ages
Всего за несколько дней в Atomfall сыграло более 1,5 миллиона человек — это лучший старт в 32-летней истории разработчиков
Картинки в стиле Ghibli перегрузили серверы OpenAI — выпуск новых функций замедлен 6 ч.
У Ubisoft пока нет чёткого плана работы новой компании с Tencent — инвесторы и сотрудники нервничают 7 ч.
«Загрузки быстрее, чем в Doom (2016)»: эксперт Digital Foundry остался в восторге от Doom: The Dark Ages 8 ч.
Консоли задержат релиз постапокалиптического стелс-экшена Steel Seed от создателей Close to the Sun — объявлена новая дата выхода 10 ч.
ИИ-модель Llama запустили на ПК из прошлого тысячелетия на базе Windows 98 11 ч.
Telegram продал виртуальных первоапрельских кирпичей почти на 100 млн рублей 11 ч.
Nintendo подтвердила рекордную продолжительность презентации Switch 2 и устроит две демонстрации игр для консоли 11 ч.
ChatGPT остаётся самым популярным чат-ботом с ИИ, но у конкурентов аудитория тоже растёт 13 ч.
Google сделает сквозное шифрование в Gmail доступным для всех 13 ч.
Антиутопия на колёсах: новый геймплейный трейлер раскрыл дату выхода приключения Beholder: Conductor про кондуктора легендарного поезда 13 ч.
Intel анонсировала выпуск ангстремных чипов, первым будет Panther Lake 2 ч.
Представлен первый в мире электрический велосипед с зарядкой через USB Type-C 6 ч.
Новая статья: Выбираем кулер для процессора Intel LGA1700 до 2 000 рублей 6 ч.
Garmin представила смарт-часы Vivoactive 6 с мониторингом энергии пользователя за $300 8 ч.
Экспериментальный мозговой имплантат на лету превратил мысли пациента в беглую речь 8 ч.
В Калифорнии зарядных станций для электромобилей теперь на 48 % больше, чем бензоколонок 11 ч.
Японская Rapidus к концу апреля запустит опытное производство 2-нм чипов 13 ч.
В Лондоне появится экобезопасный ЦОД AWS для ленточных накопителей 14 ч.
Blue Origin выяснила, почему потеряла многоразовую ступень ракеты New Glenn при первом запуске 15 ч.
Arm намерена занять 50 % рынка чипов для ЦОД к концу 2025 года — NVIDIA ей в этом поможет 16 ч.