محققان امنیتی هشدار دادند كه یك برنامه بدافزاری جدید به نام Poweliks سعی می‌كند با اجرای كامل از روی رجیستری سیستم و بدون ایجاد فایلی بر روی سیستم، از شناسایی و تحلیل خود توسط متخصصان امنیتی جلوگیری کند.

به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ ایده بدافزار «بدون فایل» كه صرفاً در حافظه سیستم وجود دارد جدید نیست، ولی چنین تهدیداتی نادر هستند، چرا كه نوعاً در راه‌اندازی‌های مجدد سیستم و پس از پاك شدن حافظه، نمی‌توانند به حیات خود ادامه دهند. اما در مورد Poweliks این مسأله صادق نیست. به گفته محققان بدافزارهای شركت امنیتی G Data Software، این بدافزار از روش جدیدی برای بقای خود استفاده می‌كند و در عین حال هیچ فایلی نیز ایجاد نمی‌كند.

هنگامی كه Poweliks سیستمی را آلوده می‌كند، یك مدخل در رجیستری ایجاد می‌کند كه فایل ویندوزی معتبر rundll32.exe و سپس كد جاوا اسكریپت رمز شده‌ای را اجرا می‌كند. این كار پردازه‌ای را راه‌اندازی می‌كند. كد جاوا اسكریپت مزبور بررسی می‌كند كه آیا Windows PowerShell كه یك پوسته خط فرمان و محیط اسكریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتی‌كه این پوسته وجود نداشته باشد، آن را دانلود كرده و نصب می‌کند و سپس كدهای دیگری را كه در حقیقت یك اسكریپت PoweShell است رمزگشایی می‌كند.



این اسكریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیش‌فرض ویندوز كه از اجرای اسكریپت‌های ناشناس PowerShell بدون تأیید كاربر جلوگیری می‌كند، اجرا می‌گردد. سپس این اسكریپت Shellcode را كه یك DLL را مستقیماً به حافظه سیستم تزریق می‌كند، رمزگشایی كرده و اجرا می‌کند.

هنگامی كه این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آی‌پی در قزاقستان متصل شده و دستورات را دریافت می‌كند. این بدافزار می‌تواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به كار رود. در طول این پروسه، از زمان اجرای كد جاوا اسكریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابكاری بر روی هارد دیسك ایجاد نمی‌كند كه این مسأله، شناسایی آن را برای آنتی‌ویروس‌ها مشكل می‌سازد.

علاوه بر اینها، نام كلید رجیستری ایجاد شده توسط Poweliks یك كاراكتر غیر اسكی است. این ترفندی است كه از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامه‌ها جلوگیری می‌كند و به این ترتیب شناسایی دستی آلودگی را برای كاربر و نیز تحلیلگران بدافزار مشكل می‌سازد.

برخی ویرایش‌های Poweliks از طریق اسناد خرابكار Word كه به هرزنامه‌ها پیوست شده بودند و وانمود می‌كردند كه از پست كانادا یا پست ایالات متحده ارسال شده‌اند، منتشر گشته‌اند. این اسناد خرابكار از یك آسیب‌پذیری اجرای كد از راه دور در آفیس 2003، 2007 و 2010 كه در آوریل 2012 اصلاح شده بود استفاده می‌كردند. البته با توجه به سایر گزارش‌ها، این بدافزار همچنین از طریق حملات drive-by download كه از نقایص وب استفاده می‌كنند نیز منتشر شده است.

آنتی‌ویروس‌ها برای مسدود كردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی كاربر توقیف کنند یا اینكه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی كد سوء استفاده كننده از آسیب‌پذیری نرم‌افزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.

منبع: certcc
اخبار پیشنهادی
تبادل نظر
آدرس ایمیل خود را با فرمت مناسب وارد نمایید.
نظرات کاربران
انتشار یافته: ۱
در انتظار بررسی: ۰
Iran (Islamic Republic of)
احمد
۱۰:۴۶ ۱۵ مرداد ۱۳۹۳
بدافزاری كه در رجیستری ویندوز خانه می‌كند .

شرکت امنیتی ژاپنی ترند میکرو ، عرضه کننده محصولات آنتی ویروس ، خبر از شناسایی ویروسی داده که خود را در رجیستری ویندوز پنهان میکند و به طور مستقیم اقدام به آلوده کردن فایلها نمیکند .

این ویروس توسط آنتی ویروسهای ترندمیکرو ( پی سی سیلین ) با نام TROJ_POWELIKS.A شناسایی می شود .

خبر به زودی ترجمه و منتشر می شود .

منبع خبر :

http://www.v3.co.uk/v3-uk/news/2358672/poweliks-malware-caught-hiding-in-windows-registry

http://www.pcworld.com/article/2461120/stealthy-malware-poweliks-resides-only-in-system-registry.html

http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-malware-hides-in-windows-registry/

http://www.scmagazine.com/poweliks-downloads-additional-malware-abuses-powershell/article/364463/

http://www.securityweek.com/poweliks-malware-uses-windows-registry-avoid-detection