Minden Windows alatt működik ez a kódrejtési trükk

Egy olyan új technikáról hullt le a lepel, amely a Windows XP-től kezdve a Windows 10-ig bezárólag minden Windows verzió alatt képes elrejteni a kártékony kódokat.
 

A kódinjektálásra épülő módszereket gyakran vetik be a vírusírók. Amennyiben egy károkozó kompatibilis ilyen technikával, akkor a fertőzése során vagy azt követően eltűnik a Windows Feladatkezelőjéből, és egy legális folyamat mögül, a háttérben végzi a tevékenységét. Hasonló módszerek persze hackelések során is előkerülnek, például hátsó kapuk rejtésekor.
 
A Hexacorn egyik biztonsági kutatója (aki Adam néven vált ismertté) egy olyan technikát fejlesztett ki, amely kódinjektálásra ad lehetőséget. A szakember arra jött rá, hogy erre a célra a Windows SetWindowSubclass API-ját is fel lehet használni. Mivel ez a grafikus felülettel rendelkező alkalmazások esetében jut szerephez, ezért nem minden folyamatnál alkalmazható az új módszer. Csakhogy ez a kutató szerint nem igazán probléma, mivel a Windows alatt mindig bőven akad olyan folyamat, amelyhez grafikus interfész is társul. Ha más nem, akkor e célra bevethető a Windows Explorer (Intéző) is.
 
A biztonsági kutató a vizsgálatai során a Windows Explorer mellett egyebek mellett a Total Commander, a Process Hacker és az Ollydbg folyamatait is fel tudta használni a saját kódjának leplezéséhez. Ráadásul a módszer a legújabb Windows 10 kiadás alatt épp úgy működik, mint a Windows XP alatt. Sőt már az is kiderült, hogy a kód kisebb módosításával 64 biten is életképes a technika.
 
A szakember jelezte, hogy az általa kifejlesztett proof-of-concept kódot nem fogja nyilvánosságra hozni, hiszen azzal könnyedén vissza lehetne élni. Egyelőre a Microsoftot sem értesítette a felfedezéséről, mivel úgy véli, hogy ezúttal nem egy Windows-os sérülékenységről van szó. Ehelyett egy legális funkció kihasználására alkalmas támadókódról beszélünk, ami ellen nem lehet egy egyszerű frissítéssel védekezni.