Quando si parla di malware spesso si fa riferimento a uno o più file che infettano il computer.
Il malware Powelik si nasconde nel tuo registro di sistema, ma non nel tuo hard disk
I file che vengono analizzati dai ricercatori e dai quali vengono estratte le “firme” che alimentano i database degli antivirus. Ma se un malware non ha un file, la situazione si complica.
I laboratori GData hanno pubblicato un report su un malware estremamente furtivo, in grado di nascondersi e restare persistente all’interno di un sistema, ma senza la necessità di “incarnarsi” in un file.
Poweliks (questo è il nome del malware in questione), è in grado di nascodere il proprio “corpo” all’interno del registro di sistema, senza intaccare direttamente il file system. Inoltre, per aumentare il proprio grado di furtività, nasconde il proprio payload attraverso diversi livelli di codifica.
A rendere ulteriormente complesso rintracciare questo malware, il nome della chiave di registro utilizzata per effettuare l’autostart, è formato da un carattere non ASCII, cosa che rendere l’accesso al valore assai complesso, almeno tramite i normali strumenti di amministrazione.
Riassumendo le fasi dell’infezione:
- Poweliks entra nel sistema sfruttando una vulnerabilità in Microsoft Word (ovvero CVE-2012-0158)
- Crea una chiave di registro, il cui valore è il malware stesso
- Il malware diventa persistente insediandosi nell’autostart
- Alla fine il malware viene eseguito in memoria
Ma non basta: la chiave di registro non contiene il codice in chiaro ma bensì:
- Un file JScript codificato, il quale a sua volta contiene
- Uno script PowerShell al cui interno troviamo
- Una shellcode codificata in Base64
Questa shellcode è il malware vero e proprio, in grado di stabilire una comunicazione con la centrale di Comando&Controllo.
Rimozione virus manuale
