设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 1768|回复: 0

隐藏在注册表的恶意软件 – Poweliks

[复制链接]

 成长值: 50890

发表于 2014-8-10 15:13 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?立即注册

x

日前,国外安全公司GData发现一款比较新型的恶意软件,并定义名称为Poweliks,该恶意软件能够持久的感染目标机器,比较新颖的是该软件不会在目标主机上安装任何文件。Poweliks只在计算机的注册表里面存储它的组件,所以很难通过普通的防病毒软件进行检测。
1.jpg

Poweliks恶意软件传播方式一般是通过邮件的方式,在邮件里面包含一个恶意的word文档,该文档里面包含了一些恶意的代码,一旦执行恶意代码将在注册表里面加一个隐藏的自启动项目。
Poweliks在注册表里面创建的键值使用非ASCII字符作为键名,防止使用Windows注册表编辑器直接读取。如下图1:
2.jpg

3.jpg

我们使用注册表编辑器打开之后如下图:
4.jpg

可以看到注册表编辑器无法读取非ASCII的键名。
GData公司发布的文章提到,Poweliks所有的活动都存储在注册表中,没有任何文件被创建过,所以能够绕过传统的恶意软件文件扫描技术,并且能够执行任意操作。如果要防止这样的攻击,防病毒解决方案必须在Poweliks执行之前检测载体Word文档。
GData举例子说明,Poweliks执行原理如同俄罗斯套娃一样,一层套着一层,最初执行JScript代码,一系列判断之后最终执行包含恶意代码的PowerShell脚本。并且Poweliks会查询机器的硬编码IP地址,攻击者可以执行任意命令,如下载一些攻击的payload等。
Poweliks行为特征:
1、利用Microsoft Word中的漏洞制作Word文件,然后通过电子邮件方式传播2、创建一个隐藏的自启动注册表项3、解码该启动项之后发现:代码中一部分会判断系统是否安装了PowerShell,另外一部分是经过Base64编码的PowerShell脚本,该脚本调用并执行攻击者定义的shellcode4、shellcode会执行Windows二进制文件的payload,该payload会查询机器硬编码的IP地址,以接受攻击者的进一步指令5、以上所有的执行过程全部存储在注册表中,没有任何文件被创建Poweliks是一个功能非常复杂的软件软件,它使用多个代码来隐藏自身,能够不创建任何文件的情况下完成操作,能够执行注册表中任何一项操作,FB小编未找到Poweliks的源代码,如有同学找到了Poweliks的源码,欢迎发到FB一起研究。
随遇而安论坛   





来源:网络转载
[发帖际遇]: admin 在论坛发帖时没有注意,被小偷偷去了 2 SB. 幸运榜 / 衰神榜
随遇而安
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表