فيروس WMI: تم تحقيق التنفيذ بدون قرص
2025-01-29
يُظهر مشروع إثبات المفهوم، Stuxnet، فيروسًا جديدًا يخفي شفرته الضارة داخل أداة إدارة Windows (WMI)، مما يحقق التنفيذ بدون قرص. يستخدم الفيروس WMI كمساحة تخزين، مستخدمًا برنامج PowerShell النصي عند بدء التشغيل لاستخراج وتحميل الحمولة في الذاكرة. يتضمن المشروع تقنية تصعيد امتيازات جديدة وتقنيات متقدمة لتجنب برامج مكافحة الفيروسات، مثل تحميل مكتبات النظام عند الطلب والبحث الديناميكي عن إزاحات الوظائف، مما يسمح له بتجنب الاكتشاف بواسطة برامج مكافحة الفيروسات الرئيسية وصناديق الرمل. يشير المؤلف أيضًا إلى إمكانيات استغلال ثغرات أمنية في مساحة النواة داخل WMI.
التطوير
التحايل على مكافحة الفيروسات