Zpět na seznam aktualit     Číst komentáře (0)     Verze pro tisk

Poweliks: perzistentní malware bez instalátoru

4.8.2014

Výzkumníci z GData objevili zákeřný kousek softwaru, který pro své operace nepotřebuje ani instalaci v systému. Malware Poweliks se ukrývá pouze v registrech a není snadno detekovatelný.


Podle Paula Rascagnerese, výzkumníka softwarových hrozeb z GDdata, je fungování Poweliks založeno na oblíbeném principu matrjošky – na sebe navazujícím a krok po kroku jdoucím spouštěním kódu. Šíří se prostřednictvím mailem poslaných dokumentů Wordu. Po otevření infikovaného dokumentu vytvoří zašifrovaný klíč v registrech spouštěný autostartem a udržuje tento klíč v registrech skrytý, popisuje proces infekce Rascagneres.

Všechny následující aktivity se odehrávají v registrech. Poweliks nevytváří žádný soubor. Útočníci jsou tedy schopni obejít klasický anti-malwarový sken souborů. Navíc můžou provést jakoukoliv zamýšlenou operaci i na nejhlubší vrstvě systému a to i po rebootování, doplňuje Rascagneres. Zápis v registrech je přitom vytvořen pomocí non-ASCII znaků, aby ho Windows Regedit nemohl otevřít a přečíst.

Malware Poweliks v systému dokáže:

  • stáhnout jakýkoliv další útočný software;
  • instalovat...
    • spyware a těžit citlivé údaje;
    • bankovní trojany a zcizovat peníze;
    • software zapojující napadený počítač do botnetu;
  • parazitovat na reklamních sítích.

Jediným způsobem ochrany je zachycení nakaženého Wordu a zabránění v jeho otevření.

 

Zdroje: GData, The Hacker News

Zdroj: http://thehackernews.com/2014/08/poweliks-persistent-windows…


Social Bookmarking

     





Hodnocení/Hlasovalo: 1/2

1  2  3  4  5    
(známkování jako ve škole)