Сегодня 27 февраля 2025
18+
MWC 2018 2018 Computex IFA 2018
3DNewsТегиmalware
реклама
Теги → malware
Быстрый переход
← В прошлое

Хакеры нашли способ отключать антивирус Avast с помощью его же драйвера

25.11.2024 [17:06], Анжелла Марина

Специалисты по кибербезопасности из компании Trellix обнаружили, что хакеры нашли новый способ отключения антивирусных программ в целевых системах через использование легитимного, но старого драйвера Avast. Злоумышленники эксплуатируют уязвимость, позволяющую драйверу завершать процессы на уровне ядра.

Источник изображения: Ed Hardie / Unsplash

Источник изображения: Ed Hardie / Unsplash

Согласно информации, атака, использует метод «принеси свой уязвимый драйвер» (BYOVD). Атакующие применяют старую версию драйвера антируткита Avast для остановки работы различных продуктов безопасности. Вредоносное ПО, известное как AV Killer, устанавливает драйвер под именем ntfs.bin в стандартную папку пользователя Windows.

Источник изображения: Trellix

Цепочка атак. Источник изображения: Trellix

После установки драйвера вредоносная программа создаёт сервис aswArPot.sys, используя утилиту Service Control (sc.exe). После этого, сверяются активные процессы системы с заранее заготовленным списком из 142 процессов, связанных с антивирусными приложениями. «Когда вирус находит совпадение, он самостоятельно создаёт идентификатор для взаимодействия с установленным драйвером Avast», — поясняет исследователь Тришан Калра (Trishaan Kalra) из компании Trellix.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Далее с помощью программного интерфейса API DeviceIoControl, вредоносное ПО отправляет команды IOCTL, необходимые для завершения работы целевых процессов. Среди целей атаки называются антивирусы от таких ведущих компаний, как McAfee, Symantec, Sophos и других. При этом способ отключения позволяет хакерам проводить вредоносные действия без оповещения пользователя или блокировки со стороны систем безопасности.

Источник изображения: Trellix

Список процессов. Источник изображения: Trellix

Стоит отметить, что сам по себе метод относительно архаичен. Аналогичные случаи были зафиксированы в начале 2022 года при анализе атак с использованием вымогателя AvosLocker.

В ответ на обнаруженные уязвимости Avast выпустила обновления безопасности своего драйвера, а Microsoft для защиты от подобных атак предлагает использовать политику блокировки уязвимых драйверов, активно обновляемую с каждым крупным релизом Windows.

← В прошлое

© 1997—2025 Электронное периодическое издание "3ДНьюс" | Свидетельство о регистрации СМИ Эл ФС 77-22224

выдано Федеральной Службой по надзору за соблюдением законодательства в сфере массовых коммуникаций и охране культурного наследия

При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением
российского и международного законодательства и возможно только с согласия редакции 3DNews.

Яндекс.Метрика

Система Orphus

window-new
Контакты Поиск Реклама О сайте
Soft
Hard
Тренды 🔥
Запрещённый Take-Two мод GTA: Vice City Nextgen Edition на движке GTA IV получил крупное обновление от «некой команды энтузиастов»
«Лучший месяц для PS+ за последние годы»: Sony раскрыла подборку игр для подписчиков PS Plus в марте
Xiaomi представила лучший камерофон — флагманский Xiaomi 15 Ultra по цене от $900
Nvidia отчиталась о рухнувших продажах GeForce, но «удивительный» спрос на ИИ-чипы поднял прибыль на 80 %
Удалить личную информацию из поиска Google стало проще
Хакеры нашли и эксплуатировали брешь в «Великом китайском файрволе» — её не удалось залатать с первой попытки 40 мин.
Массовое внедрение цифрового рубля отложено на неопределённый срок 2 ч.
Instagram внезапно стал массово показывать неподобающие Reels — в Meta извинились и уже всё починили 3 ч.
Jade Empire могла встать в один ряд с Mass Effect и Dragon Age, если бы не «абсолютно идиотский совет» Microsoft 4 ч.
Microsoft выпустила пару открытых эффективных ИИ-моделей Phi-4 — одну дообучили по новой методике 5 ч.
Выросший из мода для Doom 2 хоррор Total Chaos от автора Turbo Overkill выйдет вместе с VR-режимом для самых смелых — объявлена дата релиза 5 ч.
Надёжный инсайдер: Hogwarts Legacy 2 и новый «Бэтмен» от Rocksteady не будут играми-сервисами 6 ч.
Сюрреалистический хоррор Post Trauma отправит немолодого кондуктора в мир кошмарных монстров, причём уже скоро — новый трейлер раскрыл дату выхода 18 ч.
Ветераны Piranha Bytes анонсировали Cralon — олдскульный dungeon crawler в духе Ultima Underworld и Arx Fatalis 22 ч.
Глава Xbox Game Studios считает выпуск эксклюзивов Xbox на PS5 «беспроигрышным вариантом» как для игроков, так и для разработчиков 22 ч.
NVIDIA увеличила выручку, но снизила валовую прибыль — продукты стали сложнее и дороже, а спрос на Blackwell потрясающий 34 мин.
Samsung представила бюджетные смартфоны Galaxy M06 5G и M16 5G на чипах Dimensity 6300 — от $110 34 мин.
Китай рассекретил единственный в мире геостационарный спутник дальнего зондирования Земли 49 мин.
Blackstone и Panchshil Realty намерены построить за $2,3 млрд «крупнейший в Индии» кампус ИИ ЦОД мощностью 500 МВт 2 ч.
Дженсен Хуанг пообещал «большой шаг вперёд» — Nvidia в марте расскажет про будущие ИИ-чипы Rubin и не только 3 ч.
«Яндекс» выделила роботов-курьеров и весь беспилотный транспорт в отдельное бизнес-направление 3 ч.
В марте Луна подвергнется нашествию научных зондов с Земли — SpaceX запустила ещё два аппарата 4 ч.
Nvidia признала в Huawei сильного конкурента и похвалилась ростом продаж ИИ-чипов в Китае, несмотря на санкции 4 ч.
Представлен Armv9-процессор Cortex-A320 для IoT-устройств с ИИ-функциями 5 ч.
М.2 SSD вместимостью до 15,36 Тбайт: Exascend представила накопители серии PE4 5 ч.