Se puede usar una herramienta legítima de Windows para deshabilitar el antivirus

Un investigador ha descubierto que una herramienta legítima de Windows llamada «wsresest”Se puede utilizar para eliminar archivos deseados con privilegios de usuario básicos y también evitar las protecciones antivirus en el sistema host. El «wsreset» es una herramienta utilizada por Windows para borrar los archivos de cookies y caché de la tienda de Windows, como en un proceso de solución de problemas. Pero modificarlo con una técnica de combinación de archivos puede ayudar a un atacante a deshabilitar el software antivirus.

Los piratas informáticos pueden desactivar el antivirus con una herramienta de Windows

Como lo describe Daniel Gebert y seguido de BleepingComputer, «wsreset» es una herramienta legítima de Microsoft Windows que se puede utilizar para eliminar archivos de la carpeta de cookies y caché de la tienda de Windows. La Tienda Windows almacena estos archivos en las rutas siguientes;

% UserProfile% AppData Local Packages Microsoft.WindowsStore_8wekyb3d8bbwe AC INetCache

% UserProfile% AppData Local Packages Microsoft.WindowsStore_8wekyb3d8bbwe AC INetCookies

Cuando Gebert descubrió que esta herramienta puede restablecer archivos en estas carpetas, luego intentó dirigir esta herramienta a otra carpeta de archivos usando «unión de carpetas», que es un concepto similar a los enlaces simbólicos. Vincular la carpeta deseada a la ruta anterior permite que la herramienta «wsreset» elimine archivos de esa carpeta final. A partir de esta suposición, Gebert primero eliminó los archivos en los archivos de la carpeta «INet» y luego lo vinculó a «etc» como

La carpeta «C: Windows System32 drivers etc» «etc» contiene archivos que no pueden ser eliminados por nadie con privilegios básicos, por lo tanto, necesita una cuenta de administrador. Pero la herramienta «wsreset» pasa por alto esta barrera para incluso eliminar archivos de esas carpetas.

Después de darse cuenta de que «wsreset» es capaz de eliminar incluso los archivos de la carpeta «etc», Gebert finalmente vinculó esta ruta a los archivos de configuración de un software antivirus. Aquí, tomó el ejemplo del software Adaware, que daña sus archivos en

‘C: ProgramData adaware adaware antivirus’. Aunque los usuarios habituales no pueden modificar ni eliminar archivos en los archivos de configuración de Adaware, «wsreset» eludió esta restricción con todos los privilegios y eliminó esos archivos según lo previsto. Por lo tanto, deshabilitar Antivirus.