Νέο malware χτυπάει Registry και δεν ανιχνεύεται από Anti-Virus
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Νέο malware χτυπάει Registry και δεν ανιχνεύεται από Anti-Virus
από ΤΡΕΛΛΟΣ ΤΩΝ FM Δευ 4 Αυγ - 22:53
Ανακαλύφθηκε μια νέα μορφή επίμονου malware, το οποίο δεν δημιουργεί κανένα αρχείο στο δίσκο και αποθηκεύει όλες τις εντολές για τις δραστηριότητες του στο μητρώο.
Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του «μάλλον σπάνιες και νέες», αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.
Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.
Μόλις κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.
Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.
Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.
Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell, και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.
Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.
Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.
*iguru.gr
Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του «μάλλον σπάνιες και νέες», αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.
Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.
Μόλις κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.
Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.
Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.
Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell, και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.
Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.
Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.
*iguru.gr
ΤΡΕΛΛΟΣ ΤΩΝ FM- Διαχειριστής
Χώρα : 
Φύλλο : 
Όνομα : Βασίλης
Τόπος : Γαργαλιάνοι Μεσσηνίας
Ηλικία : 44
Δημοσιεύσεις : 41153
Έλαβες ευχαριστώ : 320
Browser : 
-
Παρόμοια θέματα» Ad-Aware Free - Anti-Virus, Anti-Spyware
» Emsisoft Anti-Malware - Anti-Malware
» ClamWin - Anti-Virus
» BitDefender - Anti-Virus
» AVG Free Edition - Anti-Virus
» Emsisoft Anti-Malware - Anti-Malware
» ClamWin - Anti-Virus
» BitDefender - Anti-Virus
» AVG Free Edition - Anti-Virus
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης|
|
|
» Ο ΤΡΕΛΛΟΣ ΤΩΝ FM παντρεύεται !
» Το FIFA World έρχεται στο PC
» Τα UK charts της εβδομάδας
» Trailer για το νέο Need for Speed
» Εκλογές 2023 : Πόσες ημέρες άδειας δικαιούνται οι εργαζόμενοι
» Συνελήφθη γυναίκα σε χωριό του Αγρινίου – Φέρεται να απείλησε νεαρό με κυνηγετικό όπλο
» J2US: Ο Πασχάλης Τερζής έκανε την μεγάλη έκπληξη – «Έσπασαν» Εύη Δρούτσα και Δέσποινα Βανδή
» Λευκές ελιές: Μια σπάνια ποικιλία ελιάς με καταγωγή από τα αρχαία χρόνια
» Ο άγνωστος ιαματικός πλούτος της Ελλάδας.Οι 90 Ιαματικές Πηγές,9 στην Αιτωλοακαρνανία
» Λαμία: Έκκληση για αίμα 0 ρέζους αρνητικό
» Βραβεύθηκαν Λουξ και Καλλιμάνης από την Ελληνική Ακαδημία Μάρκετινγκ
» Συλλέγουν πλαστικά καπάκια για παιδιά με αναπηρία
» Μπήκε σε κομμωτήριο και προσπάθησε να δολοφονήσει τον ιδιοκτήτη
» Άρτα: Έκκληση για να ξανασταθεί 21χρονος στα πόδια του
» ooVoo - chat and voip
» Για σένα τραγουδώ --- Γιάννης Πουλόπουλος. HD.
» Eνα ταξίδι --- RONI IRON Feat. Charitini (Tripes Tribute). HD.
» Grrek Filiko Forum
» Moby - Porcelain (Official Video)
» Moby 'Why Does My Heart Feel So Bad?' - Official video
» ♛♛♛ Imany – Don't be so shy (Filatov & Karas Remix) ♛♛♛
» ~Αχ βρε ζωή~ Νίκος Οικονομίδης ♬♪
» The Olympians - Istoria (Ιστορία)
» olympians --o tropos
» Ελένη Δήμου ~ Δεν με νοιάζει
» Μια γυναίκα μόνο ξέρει - Καίτη Γκρέυ
» ΟΤΙ ΑΓΑΠΩ ΕΙΝΑΙ ΔΙΚΟ ΣΟΥ ΓΛΥΚΕΡΙΑ-HD
» ΓΙΑ ΠΟΥ ΤΟ'ΒΑΛΕΣ ΚΑΡΔΙΑ ΜΟΥ- ΟΡΦΕΑΣ ΠΕΡΙΔΗΣ
» Ζαφείρης Μελάς - Γαμώ την Καλοσύνη μου (Νew 2011)