Сегодня 03 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
«Придётся теперь ещё раз перепройти, с дубляжом»: русская озвучка Alan Wake 2 выйдет совсем скоро
Представлен первый в мире электрический велосипед с зарядкой через USB Type-C
Microsoft хочет полностью избавиться от паролей — и у неё есть план
Фанаты объединились, чтобы побить «жалкий» рекорд пикового онлайна самой непопулярной игры Valve в Steam
Mozilla представила конкурента Gmail
Самые полные издания Borderlands 3 и Diablo III добавят в Game Pass, а лучшая игра 2024 года по версии 3DNews подписку скоро покинет 8 ч.
«Эпический» сериал Netflix по Assassin’s Creed впервые за несколько лет подал признаки жизни 9 ч.
Спустя 10 лет после релиза Enter the Gungeon получит «крупнокалиберный сиквел» — первый трейлер и подробности Enter the Gungeon 2 11 ч.
Роскомнадзор порекомендовал отказаться от использования решения Cloudflare, нарушающего законы РФ 11 ч.
«Наш контент бесплатный, а инфраструктура — нет»: ИИ-боты разоряют «Википедию» 12 ч.
Nintendo поднимет цены на игры раньше Take-Two с GTA VI — Mario Kart World для Switch 2 будет стоить $80 в «цифре» и $90 в рознице 12 ч.
Роскомнадзор наделил себя правом собирать IP-адреса россиян 12 ч.
«Торт не был ложью!»: Nintendo подтвердила релиз Hollow Knight: Silksong в 2025 году и показала 5 секунд геймплея 13 ч.
Adobe придумала монтаж без пересъёмок: Premiere Pro 25.2 получил ИИ, который добавит ролику недостающие кадры 13 ч.
FromSoftware анонсировала мультиплеерный боевик The Duskbloods, который выглядит как смесь Elden Ring и Bloodborne — это эксклюзив Nintendo Switch 2 14 ч.
Акции Tesla отыграли потере на слухах об уходе Илона Маска из правительства США 29 мин.
ASML увеличит количество обслуживающего персонала в Японии в пять раз 3 ч.
Новая статья: Обзор SSD-накопителя Dahua C970 Plus: «Китай» в хорошем смысле 8 ч.
От трамповских пошлин на алюминий взлетят цены на видеокарты и ПК-корпуса 9 ч.
Microsoft запустила продажи первого в мире облачного ПК Windows 365 Link за $350 9 ч.
MediaTek представила процессор Kompanio Ultra для хромбуков будущего с ИИ — он очень похож на Dimensity 9400 10 ч.
Энергия игры: в Москве прошла презентация UGREEN x Genshin Impact 11 ч.
Lightmatter анонсировала оптический интерконнект CPO Passage L200 и фотонный 3D-суперчип Passage M1000 11 ч.
AMD нашла крайнего в проблемах с запуском систем на Ryzen 7 9800X3D 12 ч.
У Tesla рухнули поставки электромобилей — это связывают с политической активностью Маска 13 ч.