Νέο malware χτυπάει Registry και δεν ανιχνεύεται από Anti-Virus
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Νέο malware χτυπάει Registry και δεν ανιχνεύεται από Anti-Virus
Ανακαλύφθηκε μια νέα μορφή επίμονου malware, το οποίο δεν δημιουργεί κανένα αρχείο στο δίσκο και αποθηκεύει όλες τις εντολές για τις δραστηριότητες του στο μητρώο.
Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του «μάλλον σπάνιες και νέες», αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.
Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.
Μόλις κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.
Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.
Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.
Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell, και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.
Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.
Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.
*iguru.gr
Σε μια δημοσίευση σε ένα blog ο ερευνητής ασφαλείας Paul Rascagneres της GData ανέπτυξε λεπτομερώς τις ιδιαιτερότητες του νέου τύπου malware, που ονομάστηκε Poweliks. Ο ερευνητής χαρακτηρίζει τις μεθόδους του «μάλλον σπάνιες και νέες», αφού τα πάντα γίνονται στη μνήμη του υπολογιστή και όχι στον σκληρό δίσκο, αποφεύγοντας με αυτόν τον τρόπο τον εντοπισμό και την ανάλυση από λογισμικά ασφαλείας.
Το malware έρχεται με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που περιέχει ένα έγγραφο του Word. Η ευπάθεια που χρησιμοποιείται από τους επιτιθέμενους είναι η CVE-2012-0158, η οποία επηρεάζει το Office και πολλά άλλα προϊόντα της Microsoft. Δεν είναι νέο, αλλά πολλοί χρήστες εξακολουθούν να χρησιμοποιούν παλιές εκδόσεις του λογισμικού.
Μόλις κάποιος πάει να ανοίξει το αρχείο, οι επιτιθέμενοι ενεργοποιούν τη λειτουργία ανθεκτικότητας του κακόβουλου λογισμικού, δημιουργώντας ένα κωδικοποιημένο κλειδί autostart στο μητρώο. Φαίνεται ότι η τεχνική κωδικοποίησης που χρησιμοποιείται από το κακόβουλο λογισμικό αρχικά δημιουργήθηκε από τη Microsoft για να προστατέψει τον πηγαίο κώδικα από διάφορες μεταβολές.
Για να αποφύγουν τον εντοπισμό από τα εργαλεία του συστήματος, το κλειδί μητρώου κρύβεται πίσω από ένα όνομα με χαρακτήρες που δεν είναι σε μορφή ASCII, κάτι το οποίο το καθιστά μη διαθέσιμο στο Επεξεργαστή Μητρώου (regedit.exe) των Windows.
Με τη δημιουργία του κλειδιού αυτόματης εκκίνησης, οι επιτιθέμενοι είναι σίγουροι ότι μια επανεκκίνηση του συστήματος, δεν το αφαιρέσει από τον υπολογιστή.
Με την αποκωδικοποίηση του κλειδιού, ο Rascagneres παρατήρησε δύο διαφορετικά set κώδικα: ένα που επαληθεύει αν ο προσβεβλημένος υπολογιστής έχει εγκατεστημένο το Windows PowerShell, και άλλο ένα, με ένα κωδικοποιημένο script Base64 gia PowerShell, για την πρόσκληση και εκτέλεση του shellcode.
Σύμφωνα με τον ερευνητή, το shellcode τρέχει το ωφέλιμο φορτίο, το οποίο επιχειρεί να συνδεθεί με ένα απομακρυσμένο διακομιστή διοίκησης και ελέγχου (C&C) για τη λήψη οδηγιών. Υπάρχουν πολλές διευθύνσεις IP για τους C&C servers, όλες αυστηρά κωδικοποιημένες.
Η ιδιαιτερότητα αυτού του κακόβουλου λογισμικού είναι ότι δεν δημιουργεί κανένα αρχείο στο δίσκο, καθιστώντας πολύ δύσκολο τον εντοπισμό του μέσω κλασικών μηχανισμών προστασίας.
*iguru.gr
Παρόμοια θέματα
» Ad-Aware Free - Anti-Virus, Anti-Spyware
» Emsisoft Anti-Malware - Anti-Malware
» ClamWin - Anti-Virus
» BitDefender - Anti-Virus
» AVG Free Edition - Anti-Virus
» Emsisoft Anti-Malware - Anti-Malware
» ClamWin - Anti-Virus
» BitDefender - Anti-Virus
» AVG Free Edition - Anti-Virus
TrelosTwnFm-News :: ΕΙΔΗΣΕΙΣ :: ΙΝΤΕΡΝΕΤ
Σελίδα 1 από 1
Δικαιώματα σας στην κατηγορία αυτή
Δεν μπορείτε να απαντήσετε στα Θέματα αυτής της Δ.Συζήτησης
|
|
Τετ 2 Αυγ - 11:19 από briskyten
» Ο ΤΡΕΛΛΟΣ ΤΩΝ FM παντρεύεται !
Τετ 3 Μάης - 9:11 από vidhayakji79
» Το FIFA World έρχεται στο PC
Πεμ 27 Απρ - 12:42 από sneakyforetell
» Τα UK charts της εβδομάδας
Τετ 26 Απρ - 5:33 από sneakyforetell
» Trailer για το νέο Need for Speed
Τετ 26 Απρ - 5:31 από sneakyforetell
» Εκλογές 2023 : Πόσες ημέρες άδειας δικαιούνται οι εργαζόμενοι
Δευ 24 Απρ - 17:20 από georgeharrison
» Συνελήφθη γυναίκα σε χωριό του Αγρινίου – Φέρεται να απείλησε νεαρό με κυνηγετικό όπλο
Δευ 24 Απρ - 15:44 από georgeharrison
» J2US: Ο Πασχάλης Τερζής έκανε την μεγάλη έκπληξη – «Έσπασαν» Εύη Δρούτσα και Δέσποινα Βανδή
Δευ 24 Απρ - 15:42 από georgeharrison
» Λευκές ελιές: Μια σπάνια ποικιλία ελιάς με καταγωγή από τα αρχαία χρόνια
Δευ 24 Απρ - 15:41 από georgeharrison
» Ο άγνωστος ιαματικός πλούτος της Ελλάδας.Οι 90 Ιαματικές Πηγές,9 στην Αιτωλοακαρνανία
Δευ 24 Απρ - 15:33 από georgeharrison
» Λαμία: Έκκληση για αίμα 0 ρέζους αρνητικό
Τετ 22 Φεβ - 10:47 από chotabhai807
» Βραβεύθηκαν Λουξ και Καλλιμάνης από την Ελληνική Ακαδημία Μάρκετινγκ
Παρ 16 Δεκ - 15:00 από faxedasto
» Συλλέγουν πλαστικά καπάκια για παιδιά με αναπηρία
Δευ 13 Ιουν - 14:33 από langasur
» Μπήκε σε κομμωτήριο και προσπάθησε να δολοφονήσει τον ιδιοκτήτη
Τετ 23 Μαρ - 13:26 από stuffkharb
» Άρτα: Έκκληση για να ξανασταθεί 21χρονος στα πόδια του
Δευ 11 Οκτ - 16:04 από manikkmanikk62
» ooVoo - chat and voip
Παρ 9 Οκτ - 22:37 από roundcubethirteen
» Για σένα τραγουδώ --- Γιάννης Πουλόπουλος. HD.
Κυρ 4 Δεκ - 15:54 από manolissp
» Eνα ταξίδι --- RONI IRON Feat. Charitini (Tripes Tribute). HD.
Κυρ 6 Νοε - 20:08 από manolissp
» Grrek Filiko Forum
Κυρ 30 Οκτ - 19:31 από akritas
» Moby - Porcelain (Official Video)
Κυρ 23 Οκτ - 21:04 από manolissp
» Moby 'Why Does My Heart Feel So Bad?' - Official video
Κυρ 23 Οκτ - 21:01 από manolissp
» ♛♛♛ Imany – Don't be so shy (Filatov & Karas Remix) ♛♛♛
Κυρ 23 Οκτ - 20:57 από manolissp
» ~Αχ βρε ζωή~ Νίκος Οικονομίδης ♬♪
Παρ 21 Οκτ - 20:01 από manolissp
» The Olympians - Istoria (Ιστορία)
Παρ 21 Οκτ - 17:26 από manolissp
» olympians --o tropos
Παρ 21 Οκτ - 17:20 από manolissp
» Ελένη Δήμου ~ Δεν με νοιάζει
Παρ 21 Οκτ - 17:17 από manolissp
» Μια γυναίκα μόνο ξέρει - Καίτη Γκρέυ
Παρ 21 Οκτ - 17:10 από manolissp
» ΟΤΙ ΑΓΑΠΩ ΕΙΝΑΙ ΔΙΚΟ ΣΟΥ ΓΛΥΚΕΡΙΑ-HD
Παρ 21 Οκτ - 17:06 από manolissp
» ΓΙΑ ΠΟΥ ΤΟ'ΒΑΛΕΣ ΚΑΡΔΙΑ ΜΟΥ- ΟΡΦΕΑΣ ΠΕΡΙΔΗΣ
Παρ 21 Οκτ - 16:58 από manolissp
» Ζαφείρης Μελάς - Γαμώ την Καλοσύνη μου (Νew 2011)
Παρ 21 Οκτ - 16:54 από manolissp