4.8.2014 |
Podle Paula Rascagnerese, výzkumníka softwarových hrozeb z GDdata, je fungování Poweliks založeno na oblíbeném principu matrjošky – na sebe navazujícím a krok po kroku jdoucím spouštěním kódu. Šíří se prostřednictvím mailem poslaných dokumentů Wordu. Po otevření infikovaného dokumentu vytvoří zašifrovaný klíč v registrech spouštěný autostartem a udržuje tento klíč v registrech skrytý,
popisuje proces infekce Rascagneres.
Všechny následující aktivity se odehrávají v registrech. Poweliks nevytváří žádný soubor. Útočníci jsou tedy schopni obejít klasický anti-malwarový sken souborů. Navíc můžou provést jakoukoliv zamýšlenou operaci i na nejhlubší vrstvě systému a to i po rebootování,
doplňuje Rascagneres. Zápis v registrech je přitom vytvořen pomocí non-ASCII znaků, aby ho Windows Regedit nemohl otevřít a přečíst.
Malware Poweliks v systému dokáže:
Jediným způsobem ochrany je zachycení nakaženého Wordu a zabránění v jeho otevření.
Zdroje: GData, The Hacker News