Poweliks: malware bez instalátoru, skrytý v registrech

Zákeřnost malwaru se stále zvyšuje. Svou troškou do mlýna přispívá i Poweliks, provádějící veškerou záškodnou činnost – bez vytváření souborů – přímo v registrech.

ikona střetu black hat a white hat

Pro SOOM.cz Daniel Beránek:

Poweliks: perzistentní malware bez instalátoru

Výzkumníci z GData objevili zákeřný kousek softwaru, který pro své operace nepotřebuje ani instalaci v systému. Malware Poweliks se ukrývá pouze v registrech a není snadno detekovatelný.

Podle Paula Rascagnerese, výzkumníka softwarových hrozeb z GDdata, je fungování Poweliks založeno na oblíbeném principu matrjošky – na sebe navazujícím a krok po kroku jdoucím spouštěním kódu. Šíří se prostřednictvím mailem poslaných dokumentů Wordu. Po otevření infikovaného dokumentu vytvoří zašifrovaný klíč v registrech spouštěný autostartem a udržuje tento klíč v registrech skrytý, popisuje proces infekce Rascagneres.

Všechny následující aktivity se odehrávají v registrech. Poweliks nevytváří žádný soubor. Útočníci jsou tedy schopni obejít klasický anti-malwarový sken souborů. Navíc můžou provést jakoukoliv zamýšlenou operaci i na nejhlubší vrstvě systému a to i po rebootování, doplňuje Rascagneres. Zápis v registrech je přitom vytvořen pomocí non-ASCII znaků, aby ho Windows Regedit nemohl otevřít a přečíst.

Malware Poweliks v systému dokáže:

  • stáhnout jakýkoliv další útočný software;
  • instalovat…
    • spyware a těžit citlivé údaje;
    • bankovní trojany a zcizovat peníze;
    • software zapojující napadený počítač do botnetu;
  • parazitovat na reklamních sítích.

Jediným způsobem ochrany je zachycení nakaženého Wordu a zabránění v jeho otevření.

Zdroje