Poweliks: perzistentní malware bez instalátoru

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: SEO specialista a copywriter Daniel Beránek
Datum: 4.8.2014
Hodnocení/Hlasovalo: 1/2

Výzkumníci z GData objevili zákeřný kousek softwaru, který pro své operace nepotřebuje ani instalaci v systému. Malware Poweliks se ukrývá pouze v registrech a není snadno detekovatelný.

Podle Paula Rascagnerese, výzkumníka softwarových hrozeb z GDdata, je fungování Poweliks založeno na oblíbeném principu matrjošky – na sebe navazujícím a krok po kroku jdoucím spouštěním kódu. Šíří se prostřednictvím mailem poslaných dokumentů Wordu. Po otevření infikovaného dokumentu vytvoří zašifrovaný klíč v registrech spouštěný autostartem a udržuje tento klíč v registrech skrytý, popisuje proces infekce Rascagneres.

Všechny následující aktivity se odehrávají v registrech. Poweliks nevytváří žádný soubor. Útočníci jsou tedy schopni obejít klasický anti-malwarový sken souborů. Navíc můžou provést jakoukoliv zamýšlenou operaci i na nejhlubší vrstvě systému a to i po rebootování, doplňuje Rascagneres. Zápis v registrech je přitom vytvořen pomocí non-ASCII znaků, aby ho Windows Regedit nemohl otevřít a přečíst.

Malware Poweliks v systému dokáže:

Jediným způsobem ochrany je zachycení nakaženého Wordu a zabránění v jeho otevření.

 

Zdroje: GData, The Hacker News