Poweliks – trojan, który nie tworzy żadnych plików, działa w obrębie rejestru

Poweliks – trojan, który nie tworzy żadnych plików, działa w obrębie rejestru05.08.2014 19:47
Redakcja

Podobnie jak ewoluuje oprogramowanie antywirusowe, które tak naprawdę nie jest już samym antywirusem, bo ten nie byłby w stanie zapewnić należytej ochrony, tak samo ewoluują różnego rodzaju szkodniki. Badacze z firmy G Data natknęli się na ciekawy rodzaj zagrożenia. Jego dokładna analiza pokazała, że jest w stanie funkcjonować bez plików, infekuje rejestr systemowy i rozwija się właśnie w nim. Skutki są poważne, bo walka z takim zagrożeniem jest o wiele trudniejsza, niż można by przypuszczać.

Gdy mówimy o wirusach, trojanach czy adware, najczęściej mamy na myśli pliki, które fizycznie znajdują się na dysku twardym naszego komputera, zarażają inne pliki, szyfrują dane, lub je niszczą. Ten przypadek jest inny. Poweliks, bo tak nazywa się zagrożenie, nie tworzy żadnych dodatkowych plików. Cały kod zagrożenia znajduje się w jednym pliku, jest zaszyfrowany i wykonuje się po uruchomieniu przez użytkownika, bądź inną aplikację będącą inicjatorem ataku. Według badaczy jego dalsze działanie przypomina... zasady układania rosyjskiej zabawki, matrioszki: kod osadza i wykonuje dalszy kod, ten następny itd.

Dostęp do ukrytego klucza nie jest możliwy
Dostęp do ukrytego klucza nie jest możliwy

Początkowo Poweliks wykorzystuje luki w zabezpieczeniach edytora tekstu Word z pakietu Microsoft Office. To właśnie poprzez spreparowany plik dochodzi do infekowania kolejnych maszyn – jak w wielu przypadkach, także i tutaj wykorzystywana jest poczta elektroniczna do rozsyłania szkodnika - przypominamy, załączniki tego typu są niezaufane. Gdy ofiara pobierze taki plik i go uruchomi, szkodnik utworzy zakodowany klucz rejestru w autostarcie. Nie wykorzystuje znaku ASCII, w efekcie pozostaje niezauważony, ponieważ klucz jest ukryty i niedostępny do poglądu narzędzi administracyjnych takich jak regedit.

Zdekodowanie tego klucza pokazuje, co szkodnik robi dalej, po ponownym uruchomieniu systemu: za pomocą wywołania rundll32.exe i kodu JavaScript sprawdza, czy system jest wyposażony w wiersz poleceń PowerShell, jeżeli tak, instaluje kod zakodowany w Base64. Ten wykonuje tzw. shellcode napisany w asemblerze. Kod ten powoduje połączenie z dwoma adresami w Kazachstanie i oczekuje na polecenia – może pobierać inne szkodniki, a także wyłączać różne składniki systemu. To tyle.. jak widać, działanie nie wymagało utworzenia żadnego pliku, jeden jedyny to sam nośnik trojana, dokument Worda.

Takie działanie wyklucza możliwość wykrycia za pomocą standardowych technik skanowania. Na nic nie zda się monitoring krytycznych plików systemowych, ani obszarów tymczasowych, bo po prostu w nich nic nie zostanie zmodyfikowane. Na nic systemy bazujące na reputacji, bo nie ma z czego wyciągnąć hasha, aby móc ją sprawdzić. Stosując tego typu metody jedyną linią obronną jest skanowanie plików Worda i szukanie w nich złośliwego kodu. Nie każdy program ochronny domyślnie skanuje tego typu pliki, większość sprawdza dopiero skrypty w nich zawarte, a to za mało do detekcji tego zagrożenia.

Jak można więc obronić się przed Poweliksem? Konieczne jest stosowanie oprogramowania, które powiadomi nas o próbie modyfikowania rejestru, lub samodzielnie go zablokuje. Jako że sporo aplikacji dodaje odpowiednie zapisy do autostartu, ta druga metoda może nie zadziałać pomimo aktywnej kontroli – pakiet zignoruje zagrożenie. Lepszym wyborem jest więc ręczna ochrona za pomocą oprogramowania do ochrony proaktywnej (np. moduły HIPS). Odpowiedni monit pytający się o pozwolenie na utworzenie klucza autostartu przy uruchomieniu pliku Worda powinien być dla nas na tyle podejrzany, aby natychmiast go zablokować.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na