Koncept počítačového viru, který existuje pouze v systémové paměti, není ničím novým, avšak není ani příliš běžný, jelikož takové škodlivé kódy většinou nepřežijí četné restartování systému, kdy se vyčistí paměť. To však není případ Poweliks, který využívá nový přístup, aby v systému zůstal co nejdéle. O Poweliks jako první informovala společnost G Data Software, hrozbu však potvrdila i společnost Trend Micro.
Po průniku do systému Poweliks vytvoří záznam v registru, který spustí legitimní soubor rundll32.exe a poté zašifrovaný kód v JavaScriptu. To podle Paula Rascagnérese z G Data spustí proces podobný ruské matrjošce. Kód v JavaScriptu zkontroluje, zda se v systému nacházejí určité prvky. Pokud ne, stáhne je a nainstaluje, přičemž následně některé z nich zašifruje a vytvoří poweshellový skript.
Skript je následně spuštěn za pomoci triku, který prolomí standardní ochranu Windows, jež zamezuje spuštění neznámých powershellových skriptů bez potvrzení uživatelem. Skript následně dekóduje a spustí shellcode, který vloží knihovnu DLL přímo do systémové paměti. Jakmile běží v paměti, škodlivá DLL se připojí na dvě adresy IP v Kazachstánu, odkud přijímá pokyny. Červ může být například využit k instalaci dalších virů.
Během celého procesu od spuštění kódu v JavaScriptu až po vytvoření finálního souboru DLL červ nevytváří na pevném disku žádná škodlivá data, tudíž mají antivirové programy problém s jeho detekcí. Klíč vložený do registru navíc není vytvořen v ASCII. Tento trik zabraňuje editačnímu nástroji registrů ve Windows a dalším programům v jeho nalezení, tudíž uživatelé i bezpečnostní experti mají problém infekci rozeznat.
Některé varianty Poweliku jsou distribuovány pomocí dokumentů Wordu přiložených ke spamu, jehož odesilatelem je kanadská či americká pošta. U těchto podvodných dokumentů se využívají slabiny, na něž Microsoft vydal záplaty v roce 2012. Červ se však navíc šíří také pomocí webových stránek.
K zablokování červa jako Poweliks „antivirové programy musejí buďto zachytit soubor (původní dokument Word) před jeho spuštěním nebo v další úrovni obrany musejí detekovat červa po spuštění dokumentu. Poslední možností je pak zachytit podezřelou aktivitu při monitorování registrů, zablokovat přidružené procesy a informovat uživatele,“ uvedl Rascagnéres.
PŘEDPLATNÉ
ČLÁNKY DO MAILU