Νέο malware χτυπάει Registry και δεν ανιχνεύεται από Anti-Virus

Ανακαλύφθηκε μια νέα μορφή επίμονου malware, το οποίο δεν δημιουργεί κανένα αρχείο στο δίσκο και αποθηκεύει όλες τις εντολές για τις δραστηριότητες του στο μητρώο.

Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του “μάλλον σπάνιες και νέες”, αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.

Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.

Μόλις  κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.

  H Tesla ανακοινώνει την επέκταση του δικτύου της στην Ευρώπη

Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.

Registry malware

Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.

Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell,  και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.

Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.

Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).


6  +  2  =