Poweliks: il Malware Persistente senza File - Rocco Balzamà | Comunicazione & Cybersecurity | Ethical & Growth Hacker | Graphics and Web Designer - Marketing e Data Protection Management
Mostra tutti

Poweliks: il Malware Persistente senza File

Quando si parla di malware spesso si fa riferimento a uno o più file che infettano il computer.

Il malware Powelik si nasconde nel tuo registro di sistema, ma non nel tuo hard disk

I file che vengono analizzati dai ricercatori e dai quali vengono estratte le “firme” che alimentano i database degli antivirus. Ma se un malware non ha un file, la situazione si complica.

I laboratori GData hanno pubblicato un report su un malware estremamente furtivo, in grado di nascondersi e restare persistente all’interno di un sistema, ma senza la necessità di “incarnarsi” in un file.

Poweliks (questo è il nome del malware in questione), è in grado di nascodere il proprio “corpo” all’interno del registro di sistema, senza intaccare direttamente il file system. Inoltre, per aumentare il proprio grado di furtività, nasconde il proprio payload attraverso diversi livelli di codifica.

A rendere ulteriormente complesso rintracciare questo malware, il nome della chiave di registro utilizzata per effettuare l’autostart, è formato da un carattere non ASCII, cosa che rendere l’accesso al valore assai complesso, almeno tramite i normali strumenti di amministrazione.

Riassumendo le fasi dell’infezione:

  • Poweliks entra nel sistema sfruttando una vulnerabilità in Microsoft Word (ovvero CVE-2012-0158)
  • Crea una chiave di registro, il cui valore è il malware stesso
  • Il malware diventa persistente insediandosi nell’autostart
  • Alla fine il malware viene eseguito in memoria

Ma non basta: la chiave di registro non contiene il codice in chiaro ma bensì:

  • Un file JScript codificato, il quale a sua volta contiene
  • Uno script PowerShell al cui interno troviamo
  • Una shellcode codificata in Base64

Questa shellcode è il malware vero e proprio, in grado di stabilire una comunicazione con la centrale di Comando&Controllo.

Rimozione virus manuale

 

Via

Rocco Balzamà

Rocco Balzamà

Admin & CEO Rocco Balzamà Studio & Agency at Rocco Balzama Digital Agency
Ethical & Growth Hacker | CEH | OSCP | Information Security Senior Manager | Data Governance & Privacy Solutions | Marketing Manager | Cyber Coaching | Penetration Tester... Tutto ebbe inizio nell'estate del 1983, quando le mie mani toccarono per la prima volta una tastiera... ancora oggi, con lo stesso entusiasmo che avevo da bambino aiuto le aziende a proteggersi ed evolversi nel mondo digitale.
Rocco Balzamà