سفارش تبلیغ
صبا ویژن
بدافزاری که در رجیستری ویندوز شما خانه میکند

به گزارش دریچه فناوری اطلاعات باشگاه خبرنگاران؛ ایده بدافزار «بدون فایل» که صرفاً در حافظه سیستم وجود دارد جدید نیست، ولی چنین تهدیداتی نادر هستند، چرا که نوعاً در راه‌اندازی‌های مجدد سیستم و پس از پاک شدن حافظه، نمی‌توانند به حیات خود ادامه دهند. اما در مورد Poweliks این مسأله صادق نیست. به گفته محققان بدافزارهای شرکت امنیتی G Data Software، این بدافزار از روش جدیدی برای بقای خود استفاده می‌کند و در عین حال هیچ فایلی نیز ایجاد نمی‌کند.

هنگامی که Poweliks سیستمی را آلوده می‌کند، یک مدخل در رجیستری ایجاد می‌کند که فایل ویندوزی معتبر rundll32.exe و سپس کد جاوا اسکریپت رمز شده‌ای را اجرا می‌کند. این کار پردازه‌ای را راه‌اندازی می‌کند. کد جاوا اسکریپت مزبور بررسی می‌کند که آیا Windows PowerShell که یک پوسته خط فرمان و محیط اسکریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتی‌که این پوسته وجود نداشته باشد، آن را دانلود کرده و نصب می‌کند و سپس کدهای دیگری را که در حقیقت یک اسکریپت PoweShell است رمزگشایی می‌کند.


این اسکریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیش‌فرض ویندوز که از اجرای اسکریپت‌های ناشناس PowerShell بدون تأیید کاربر جلوگیری می‌کند، اجرا می‌گردد. سپس این اسکریپت Shellcode را که یک DLL را مستقیماً به حافظه سیستم تزریق می‌کند، رمزگشایی کرده و اجرا می‌کند.

هنگامی که این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آی‌پی در قزاقستان متصل شده و دستورات را دریافت می‌کند. این بدافزار می‌تواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به کار رود. در طول این پروسه، از زمان اجرای کد جاوا اسکریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابکاری بر روی هارد دیسک ایجاد نمی‌کند که این مسأله، شناسایی آن را برای آنتی‌ویروس‌ها مشکل می‌سازد.

علاوه بر اینها، نام کلید رجیستری ایجاد شده توسط Poweliks یک کاراکتر غیر اسکی است. این ترفندی است که از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامه‌ها جلوگیری می‌کند و به این ترتیب شناسایی دستی آلودگی را برای کاربر و نیز تحلیلگران بدافزار مشکل می‌سازد.

برخی ویرایش‌های Poweliks از طریق اسناد خرابکار Word که به هرزنامه‌ها پیوست شده بودند و وانمود می‌کردند که از پست کانادا یا پست ایالات متحده ارسال شده‌اند، منتشر گشته‌اند. این اسناد خرابکار از یک آسیب‌پذیری اجرای کد از راه دور در آفیس 2003، 2007 و 2010 که در آوریل 2012 اصلاح شده بود استفاده می‌کردند. البته با توجه به سایر گزارش‌ها، این بدافزار همچنین از طریق حملات drive-by download که از نقایص وب استفاده می‌کنند نیز منتشر شده است.

آنتی‌ویروس‌ها برای مسدود کردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی کاربر توقیف کنند یا اینکه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی کد سوء استفاده کننده از آسیب‌پذیری نرم‌افزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود کرده و به کاربر هشدار دهند.

منبع: certcc 

تاریخ : چهارشنبه 93/5/15 | 7:31 صبح | نویسنده : MOHSEN | نظرات ()
.: Weblog Themes By BlackSkin :.
طراح قالب وبلاگ میز کار : بلک اسکین | Weblog Themes By : Blackskin.ir