Kako se malver Powerliks krije od antivirusa

Opisi virusa, 05.08.2014, 09:18 AM

Kako se malver Powerliks krije od antivirusa

Stručnjaci nemačkog proizvođača antivirusa kompanije G Data otkrili su novi malver nazvan Powerliks koji pokušava da izbegne detekciju i analizu tako što radi samo iz system registryja ne kreirajući fajlove na disku.

Ovakav koncept malvera koji postoji samo u memoriji sistema bez fajlova na disku nije nov, ali su takvi malveri retki zato što oni obično ne preživljavaju ponovna pokretanja sistema, kada se memorija očisti.

To nije slučaj sa malverom Powerliks, koji ima nešto drugačiji pristup koji mu obezbeđuje opstanak.

U fajlu koji započinje sve zlonamerne aktivnosti na sistemu sačuvan je ceo kod koji je neophodan za napad, koji šifrovan i sakriven, čeka da bude izvršen. Da bi se obavile zlonamerne aktivnosti, napadači idu korak po korak u dubinu koda. Izvršavanje ovih koraka jedan za drugim podseća na ruske lutke babuške (matrjoške).

Napad počinje emailom sa maliciozno izmenjenim Microsoft Word dokumentom u prilogu. U slučaju koji su analizirali u G Data, napadači su koristili ranjivost CVE-2012-0158 u MS Office i nekoliko drugih Microsoftovih proizvoda. Iako propust nije nov, mnogi korisnici koriste neažurirane verzije softvera koje mogu biti kompromitovane na ovaj način.

Kada se fajl pokrene, kreira se kodirani autostart ključ u registryju. Tehnika kodiranja koju koristi malver je zapravo Microsoftova a služi da zaštiti Microsoftov izvorni kod od izmena.

Da bi izbegao detekciju sistemskih alata, registry ključ se sakriva tako što nijedan karakter u nazivu ključa nije ASCII karakter. Registry Editor ne može da čita ne-ASCII karaktere i zbog toga ne može da otvori ključ, pa se pojavljuje poruka o grešci. Tako ni korisnik takođe ne može da vidi ključ.

Kreiranjem autostart ključa, napadači mogu biti sigurni da ponovno pokretanje sistema neće ukloniti malver sa računara.

Dekodiranje ključa otkriva dva koda: jedan koji proverava da li napadnuti računar ima instaliran Windows PowerShell, i drugi, Base64-encoded PowerShell skiptu za pozivanje i izvršavanje shellcodea.

Shellcode izvršava payload, koji pokušava da se poveže sa udaljenim C&C serverom za komandu i kontrolu da bi dobio instrukcije. Postoji nekoliko IP adresa za C&C servere i sve su hardkodovane.

Malver je teško otkriti uobičajenim zaštitnim mehanizmima jer ne kreira nijedan fajl na disku.

“Da bi se sprečili napadi kao što je ovaj, antivirusna rešenja moraju ili da uhvate fajl (početni Word dokument) pre nego što bude izvršen (ako postoji), po mogućstvu i pre nego što dođe do email inboxa korisnika. Ili, kao sledeća linija odbrane, oni (antivirusna rešenja) treba da otkriju exploit, ili kao poslednji korak, nadzorom registryja mora se otkriti neobično ponašanje, blokirati odgovarajući procesi i upozoriti korisnik”, kažu iz G Data.

Malver Powerliks je veoma moćan i može preuzeti bilo koji payload, a razmere štete koju može prouzrokovati Powerliks mogu biti velike. Powerliks može instalirati spyware na zaraženom računaru da bi prikupljao privatne podatke ili poslovna dokumenta. On može instalirati i bankarskog trojanca a posledica toga može biti krađa novca sa računa korisnika. Malver može instalirati bilo koji štetan program u zavisnosti od potreba napadača. Powerliks se može koristiti i u bot mrežama i tako iskoristiti za zarađivanje novca od prevara sa oglasima.

Više tehničkih detalja o malveru Powerliks možete naći na blogu kompanije G Data.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje