رخدادهای رایانهای؛
بدافزاری كه در رجیستری ویندوز شما خانه میكند
محققان امنیتی هشدار دادند كه یك برنامه بدافزاری جدید به نام Poweliks سعی میكند با اجرای كامل از روی رجیستری سیستم و بدون ایجاد فایلی بر روی سیستم، از شناسایی و تحلیل خود توسط متخصصان امنیتی جلوگیری کند.
به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ ایده بدافزار «بدون فایل» كه صرفاً در حافظه سیستم وجود دارد جدید نیست، ولی چنین تهدیداتی نادر هستند، چرا كه نوعاً در راهاندازیهای مجدد سیستم و پس از پاك شدن حافظه، نمیتوانند به حیات خود ادامه دهند. اما در مورد Poweliks این مسأله صادق نیست. به گفته محققان بدافزارهای شركت امنیتی G Data Software، این بدافزار از روش جدیدی برای بقای خود استفاده میكند و در عین حال هیچ فایلی نیز ایجاد نمیكند.
هنگامی كه Poweliks سیستمی را آلوده میكند، یك مدخل در رجیستری ایجاد میکند كه فایل ویندوزی معتبر rundll32.exe و سپس كد جاوا اسكریپت رمز شدهای را اجرا میكند. این كار پردازهای را راهاندازی میكند. كد جاوا اسكریپت مزبور بررسی میكند كه آیا Windows PowerShell كه یك پوسته خط فرمان و محیط اسكریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتیكه این پوسته وجود نداشته باشد، آن را دانلود كرده و نصب میکند و سپس كدهای دیگری را كه در حقیقت یك اسكریپت PoweShell است رمزگشایی میكند.
این اسكریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیشفرض ویندوز كه از اجرای اسكریپتهای ناشناس PowerShell بدون تأیید كاربر جلوگیری میكند، اجرا میگردد. سپس این اسكریپت Shellcode را كه یك DLL را مستقیماً به حافظه سیستم تزریق میكند، رمزگشایی كرده و اجرا میکند.
هنگامی كه این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آیپی در قزاقستان متصل شده و دستورات را دریافت میكند. این بدافزار میتواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به كار رود. در طول این پروسه، از زمان اجرای كد جاوا اسكریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابكاری بر روی هارد دیسك ایجاد نمیكند كه این مسأله، شناسایی آن را برای آنتیویروسها مشكل میسازد.
علاوه بر اینها، نام كلید رجیستری ایجاد شده توسط Poweliks یك كاراكتر غیر اسكی است. این ترفندی است كه از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامهها جلوگیری میكند و به این ترتیب شناسایی دستی آلودگی را برای كاربر و نیز تحلیلگران بدافزار مشكل میسازد.
برخی ویرایشهای Poweliks از طریق اسناد خرابكار Word كه به هرزنامهها پیوست شده بودند و وانمود میكردند كه از پست كانادا یا پست ایالات متحده ارسال شدهاند، منتشر گشتهاند. این اسناد خرابكار از یك آسیبپذیری اجرای كد از راه دور در آفیس 2003، 2007 و 2010 كه در آوریل 2012 اصلاح شده بود استفاده میكردند. البته با توجه به سایر گزارشها، این بدافزار همچنین از طریق حملات drive-by download كه از نقایص وب استفاده میكنند نیز منتشر شده است.
آنتیویروسها برای مسدود كردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی كاربر توقیف کنند یا اینكه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی كد سوء استفاده كننده از آسیبپذیری نرمافزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.
منبع: certcc
هنگامی كه Poweliks سیستمی را آلوده میكند، یك مدخل در رجیستری ایجاد میکند كه فایل ویندوزی معتبر rundll32.exe و سپس كد جاوا اسكریپت رمز شدهای را اجرا میكند. این كار پردازهای را راهاندازی میكند. كد جاوا اسكریپت مزبور بررسی میكند كه آیا Windows PowerShell كه یك پوسته خط فرمان و محیط اسكریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتیكه این پوسته وجود نداشته باشد، آن را دانلود كرده و نصب میکند و سپس كدهای دیگری را كه در حقیقت یك اسكریپت PoweShell است رمزگشایی میكند.
این اسكریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیشفرض ویندوز كه از اجرای اسكریپتهای ناشناس PowerShell بدون تأیید كاربر جلوگیری میكند، اجرا میگردد. سپس این اسكریپت Shellcode را كه یك DLL را مستقیماً به حافظه سیستم تزریق میكند، رمزگشایی كرده و اجرا میکند.
هنگامی كه این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آیپی در قزاقستان متصل شده و دستورات را دریافت میكند. این بدافزار میتواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به كار رود. در طول این پروسه، از زمان اجرای كد جاوا اسكریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابكاری بر روی هارد دیسك ایجاد نمیكند كه این مسأله، شناسایی آن را برای آنتیویروسها مشكل میسازد.
علاوه بر اینها، نام كلید رجیستری ایجاد شده توسط Poweliks یك كاراكتر غیر اسكی است. این ترفندی است كه از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامهها جلوگیری میكند و به این ترتیب شناسایی دستی آلودگی را برای كاربر و نیز تحلیلگران بدافزار مشكل میسازد.
برخی ویرایشهای Poweliks از طریق اسناد خرابكار Word كه به هرزنامهها پیوست شده بودند و وانمود میكردند كه از پست كانادا یا پست ایالات متحده ارسال شدهاند، منتشر گشتهاند. این اسناد خرابكار از یك آسیبپذیری اجرای كد از راه دور در آفیس 2003، 2007 و 2010 كه در آوریل 2012 اصلاح شده بود استفاده میكردند. البته با توجه به سایر گزارشها، این بدافزار همچنین از طریق حملات drive-by download كه از نقایص وب استفاده میكنند نیز منتشر شده است.
آنتیویروسها برای مسدود كردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی كاربر توقیف کنند یا اینكه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی كد سوء استفاده كننده از آسیبپذیری نرمافزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.
منبع: certcc
شرکت امنیتی ژاپنی ترند میکرو ، عرضه کننده محصولات آنتی ویروس ، خبر از شناسایی ویروسی داده که خود را در رجیستری ویندوز پنهان میکند و به طور مستقیم اقدام به آلوده کردن فایلها نمیکند .
این ویروس توسط آنتی ویروسهای ترندمیکرو ( پی سی سیلین ) با نام TROJ_POWELIKS.A شناسایی می شود .
خبر به زودی ترجمه و منتشر می شود .
منبع خبر :
http://www.v3.co.uk/v3-uk/news/2358672/poweliks-malware-caught-hiding-in-windows-registry
http://www.pcworld.com/article/2461120/stealthy-malware-poweliks-resides-only-in-system-registry.html
http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-malware-hides-in-windows-registry/
http://www.scmagazine.com/poweliks-downloads-additional-malware-abuses-powershell/article/364463/
http://www.securityweek.com/poweliks-malware-uses-windows-registry-avoid-detection