Poweliks je perzistentní malware, který se nachází jen v registrech Windows

Byl detekován nový malware, který se na napadeném počítači nenachází v podobě souboru, jak je to běžné, ale pouze jako záznam v registrech a vše ostatní probíhá jen v paměti.

Odkaz na malware se nachází v příloze e-mailu, který se tváří jako sdělení od pošty nebo jiné oblíbené zásilkové služby a zneužívá známé zranitelnosti CVE-2012-0158 v aplikaci Microsoft Word.

Po stažení odkazovaného souboru a jeho spuštění je vytvořen v registru Windows, konkrétně v \\HKCU\Software\Microsoft\Windows\CurrentVersion\Run\, nový klíč, což by nebylo nic zas až tak neobvyklého, protože zde se běžně nachází klíče obsahující cestu k programům a mlawaru, který se má po startu systému automaticky spustit, kdyby tento klíč šel normálně zobrazit pomocí systémového nástroje regedit.

Jenže ono to nejde, protože jeho název není tvořen ASCII znaky. V klíči se nachází volání zakódovaného javascriptu přes rundll32.exe. Skript kontroluje, zda je přítomný PowerShell a pokud ne, tak dojde k jeho stažení a instalaci.

Následně je spuštěn PowerShell skript kódovaný pomocí Base64. Ten obsahuje proměnnou, jejíž hodnota je zakódována pomocí Base64 a obsahuje ASM shellcode, ten se spustí a snaží se připojit na dvě IP adresy, a stáhnout další malware, který pak může dělat prakticky cokoliv.

Závěr: Obrana by měla být jednoduchá, mělo by stačit mít aktualizovaný systém a aplikace, používat kvalitní antivirus a především neklikat na podezřelé odkazy v e-mailu, jenže kdo odolá. Je otázka, zda se technika skrývání v registrech uchytí a zda v další verzi nebude zneužita jiná zranitelnost a nějaká pokročilejší technika šifrování a komunikace s C&C serverem.

Zdroj: https://blog.gdatasoftware.com/blog/article/poweliks-the-persistent-malware-without-a-file.html

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Poweliks je perzistentní malware, který se nachází jen v registrech Windows” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: