Ανακαλύφθηκε μια νέα μορφή επίμονου malware, το οποίο δεν δημιουργεί κανένα αρχείο στο δίσκο και αποθηκεύει όλες τις εντολές για τις δραστηριότητες του στο μητρώο.
Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του “μάλλον σπάνιες και νέες”, αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.
Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.
Μόλις κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.
Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.
Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.
Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell, και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.
Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.
Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.