Сегодня 28 января 2025
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
Представлена игровая консоль SuperStation One, которая без эмуляции запускает игры PlayStation и других старых приставок
Microsoft снова сломала Windows 11 — с обновлением перестали работать наушники, веб-камеры и даже Alt+Tab
Китайское ИИ-приложение DeepSeek стало самым популярным в США — ChatGPT и прочие глотают пыль
«Нам не нужны ветряные мельницы»: США приостановили развитие ветровой и солнечной энергетики на федеральных землях и водоёмах
Nvidia потеряла $384 млрд рыночной стоимости за день из-за шумихи вокруг китайского ИИ-стартапа DeepSeek
Посещаемость сайта DeepSeek взлетела с 300 тысяч до 6 млн, не обошлось и без DDoS 3 ч.
Приложение Nvidia App для управления графикой получило расширенные настройки дисплея 7 ч.
S.T.A.L.K.E.R. 2: Heart of Chornobyl получила первый патч в 2025 году — он устраняет «наиболее критические проблемы» 8 ч.
Microsoft подключила к разработке Gears of War: E-Day создателей Gears of War: Judgment и Bulletstorm 8 ч.
Последний крупный патч для Baldur's Gate 3 вышел раньше времени, но только на PS5 и по ошибке 9 ч.
Календарь релизов — 27 января – 2 февраля: Atomic Heart DLC#3, Orcs Must Die! и Citizen Sleeper 2 10 ч.
Фил Спенсер не смог гарантировать, что Starfield останется эксклюзивом Xbox 11 ч.
У Hogwarts Legacy на ПК скоро появится официальная поддержка модов и редактор для их создания 12 ч.
Продажи игр на физических носителях в США неуклонно снижаются — с 2021 года более чем вдвое 12 ч.
Ролевой боевик Rise of the Ronin от создателей Nioh выйдет на ПК с поддержкой 8K и 120 кадров/с — дата релиза в Steam и геймплейный трейлер 14 ч.
Люди уже ставят палатки у магазинов электроники в ожидании старта продаж GeForce RTX 5090 45 мин.
Брандмауэры Zyxel USG FLEX и ATP ушли в бесконечную перезагрузку после некорректного обновления сигнатур 6 ч.
Дороговизна и высокое энергопотребление ИИ-ускорителей NVIDIA открыли новые горизонты для Marvell и Broadcom 7 ч.
Новая статья: Первые впечатления от смартфона HONOR X9c: зимний солдат 7 ч.
Южная Каролина заинтересовалась достройкой «скандальной» АЭС Virgil C Summer из-за спроса на ИИ ЦОД 9 ч.
15 лет назад Стив Джобс представил первый Apple iPad — «волшебное и революционное устройство» 11 ч.
Индийская Reliance заявила, что построит «крупнейший ЦОД в мире» 13 ч.
Китайские роботы UBTech начнут заполнять заводы и фабрики уже в этом году 13 ч.
Nothing раскрыла дату анонса Phone (3) — ждать настоящий флагман осталось недолго 13 ч.
AMD похвасталась, что её мощнейшая встроенная графика в чипах Strix Halo быстрее GeForce RTX 4070 в играх 14 ч.