هجوم "DoubleAgent" بإمكانه إختراق جميع إصدارات الويندوز, وحتى مكافح الفايروسات!

ويندوز
فايروس
هجوم
doubleagent
الأوسمة: #<Tag:0x00007fe45f52ed88> #<Tag:0x00007fe45f52ebd0> #<Tag:0x00007fe45f52e9a0> #<Tag:0x00007fe45f52e798>

(علي لينكس) #1

السلام عليكم ورحمة الله وبركاته

تكرر الهجومات على أنظمة ويندوز, حيث اكتشف فريق من الباحثين الأمنيين من شركة “Cybellum”، وهي شركة وقائية عن ثغرات zero-day في فلسطين، ضعف جديد في ويندوز يمكن أن يسمح للقراصنة بالتحكم الكامل في جهاز الكمبيوتر

كما وصف الفايروس “DoubleAgent” بأنه الكود الخبيث الحديث التابع له (injecting code) يعمل على كافة إصدارات الويندوز بدًا من Windows XP إلى آخر إصدار Windows 10, وما هو أسوا بأن الفايروس يستغل ميزة شرعية تستخدم من 15 سنة في الويندوز تدعى “Application Verifier” او “التحقق من التطبيقات” مما يجعل الفايروس لا يمكن إزالته كذلك يمكن دمج الفايروس في برامج مكافحة الفايروسات!

التحقق من التطبيقات أو “Application Verifier” هي أداة للتحقق تقوم بتحميل الـDLLs (dynamic link library) إلى العمليات التابعة لويندوز لغرض الاختبار, مما يسمح للمطورين بسرعة الكشف عن أخطاء البرمجة وإصلاحها في تطبيقاتهم.

كما أبلغ الباحثون هذه الشركات قبل ثلاثة أشهر أن تطبيقات مكافحة الفيروسات الخاصة بهم عرضة لهذه التقنية:

Avast (CVE-2017-5567)
AVG (CVE-2017-5566)
Avira (CVE-2017-6417)
Bitdefender (CVE-2017-6186)
Trend Micro (CVE-2017-5565)
Comodo
ESET
F-Secure
Kaspersky
Malwarebytes
McAfee
Panda
Quick Heal
Norton

لقد تم العمل مع بعض منهم منذ ذلك الحين, ولكن حتى الآن “Malwarebytes” و “AVG” هم من قامو بإصدار التصحيح للفايروس, وتخطط “Trend-Micro” لإطلاق التحديث الجديد قريبًا, لذلك إذا كنت تستعمل أحد التطبيقات الثلاثة التي تم ذكرها سابقًا فقد تحتاج إلى تحديث التطبيق في اسرع وقت ممكن, وقد ركزت شركة “Cybellum” في مكافحة الفايروس بعدم إمكانية دمجه في مكافحات الفايروسات ولكن التقنية التابعة للفايروس بإمكانها العمل مع أي تطبيق وحتى في نظام تشغيل ويندوز نفسه!

لفهم ما يمكن القيام به فايروس “DoubleAgent” بشكل أفضل، قم بمشاهدة الفيديو أدناه فإنه يدل على كيف يمكن تحويل التطبيق لمكافحة الفيروسات إلى برنامج فدية “ransomware” يقوم بتشفير الملفات حتى تدفع مايطلبه منك

المصادر: 1 2.