Poweliks je perzistentní malware, který se nachází jen v registrech Windows

Byl detekován nový malware, který se na napadeném počítači nenachází v podobě souboru, jak je to běžné, ale pouze jako záznam v registrech a vše ostatní probíhá jen v paměti.

Odkaz na malware se nachází v příloze e-mailu, který se tváří jako sdělení od pošty nebo jiné oblíbené zásilkové služby a zneužívá známé zranitelnosti CVE-2012-0158 v aplikaci Microsoft Word.

Po stažení odkazovaného souboru a jeho spuštění je vytvořen v registru Windows, konkrétně v \\HKCU\Software\Microsoft\Windows\CurrentVersion\Run\, nový klíč, což by nebylo nic zas až tak neobvyklého, protože zde se běžně nachází klíče obsahující cestu k programům a mlawaru, který se má po startu systému automaticky spustit, kdyby tento klíč šel normálně zobrazit pomocí systémového nástroje regedit.

Jenže ono to nejde, protože jeho název není tvořen ASCII znaky. V klíči se nachází volání zakódovaného javascriptu přes rundll32.exe. Skript kontroluje, zda je přítomný PowerShell a pokud ne, tak dojde k jeho stažení a instalaci.

Následně je spuštěn PowerShell skript kódovaný pomocí Base64. Ten obsahuje proměnnou, jejíž hodnota je zakódována pomocí Base64 a obsahuje ASM shellcode, ten se spustí a snaží se připojit na dvě IP adresy, a stáhnout další malware, který pak může dělat prakticky cokoliv.

Závěr: Obrana by měla být jednoduchá, mělo by stačit mít aktualizovaný systém a aplikace, používat kvalitní antivirus a především neklikat na podezřelé odkazy v e-mailu, jenže kdo odolá. Je otázka, zda se technika skrývání v registrech uchytí a zda v další verzi nebude zneužita jiná zranitelnost a nějaká pokročilejší technika šifrování a komunikace s C&C serverem.

Zdroj: https://blog.gdatasoftware.com/blog/article/poweliks-the-persistent-malware-without-a-file.html

Pokud vás tento příspěvek zaujal, sdílejte ho!
Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter
Share on Facebook
Facebook
Print this page
Print

Štítky:


K článku “Poweliks je perzistentní malware, který se nachází jen v registrech Windows” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: