Poweliks بدافزاری که فقط در Registry زندگی می کند

نحوه انتشار بدافزار Poweliks از طریق فایلهای دستکاری شده و مخرب Word است که بصورت فایل پیوست توسط هرزنامه (Spam) منتشر می شوند.

بدافزار جدیدی به نام Poweliks شناسایی شده که فقط از Registry سیستم عامل اجرا شده و هیچگونه فایلی از خود بر روی دیسک سخت ایجاد نمی کند. این روش جدید می تواند کشف و شناسایی بدافزار را برای ابزارهای امنیتی بسیار دشوار سازد.

تکنــــــــــــازدانلود: ایده “بدافزار بدون فایل” که فقط در حافظه سیستم فعال باشد، ایده چندان جدیدی نیست. ولی صدمات این نوع بدافزارها همیشه بسیار اندک و محدود بوده است زیرا بدافزار طول عمر چندان زیادی ندارد و با اولین راه اندازی مجدد سیستم و پاک شدن اطلاعات از حافظه، زندگی بدافزار هم به پایان می رسد. ولی بدافزار Poweliks ایده “بدافزار بدون فایل” را به روش جدیدی انجام می دهد که طول عمر طولانی هم می تواند داشته باشد.

هنگامی که بدافزار Poweliks کامپیوتری را آلوده می کند، یک فرمان راه اندازی در Registry سیستم عامل ایجاد می نماید. فرمان راه اندازی، در هر بار راه اندازی مجدد کامپیوتر اجرا خواهد شد. این فرمان، فایل اجرایی واقعی و سالم rundll32.exe را که متعلق به سیستم عامل Windows است، به همراه چند دستور JavaScript اجرا می کند.

وظیفه برنامه JavaScript شناسایی Windows PowerShell بر روی کامپیوتر است. در صورت نبودن PowerShell، برنامه JavaScript اقدام به دریافت و نصب آن بر روی سیستم قربانی می کند. Windows PowerShell یک پوسته برای اجرای دستورات خط-فرمان (Command-Line) به همراه محیط Scriptنویسی است.  

سپس دستوراتی در قالب PowerShell Script اجرا می شود که باعث تزریق یک فایل DLL در حافظه سیستم می گردد. برای اجرای این دستورات، بدافزار Poweliks از ترفند ویژه ای برای دور زدن کنترلهای سیستم عامل که مانع از اجرای Script ناشناس در محیط PowerShell می شود، استفاده می کند.

پس از فعال شدن فایل DLL در حافظه، با دو نشانی IP در کشور قزاقستان ارتباط برقرار شده و دستورات و تهدیدات جدید از مرکز کنترل و فرماندهی بدافزار Poweliks دریافت و بر روی کامپیوتر قربانی اجرا می شوند.

از مرحله اجرای برنامه JavaScript تا فعال شدن فایل DLL در حافظه، بدافزار Poweliks هیچ فایلی بر روی دیسک سخت ایجاد نمی کند. این روش می تواند کشف و شناسایی بدافزار را برای ضدبدافزارها بسیار سخت و دشوار نماید.

بعلاوه، برای نامگذاری فرمان راه اندازی در Registry از کاراکترهای غیر ASCII استفاده شده که باعث می شود ابزار Regedit نام فرمان را نمایش ندهد. بدین ترتیب، حتی شناسایی دستی فرمان مخرب توسط کاربر نیز دشوار خواهد بود.

به نقل از شبکه گستر, نحوه انتشار بدافزار Poweliks از طریق فایلهای دستکاری شده و مخرب Word است که بصورت فایل پیوست توسط هرزنامه (Spam) منتشر می شوند. در این فایل Word از یک نقطه ضعف قدیمی و ترمیم شده در نرم افزار Office سوء استفاده می شود تا دسترسی غیرمجاز به سیستم قربانی پیدا کرد. این نقطه ضعف خاص، بیش از دو سال قبل توسط شرکت مایکروسافت اصلاح شده است. هرزنامه های ارسالی در ظاهر از سوی شرکت پست کانادا ارسال شده اند.

ابزارهای امنیتی که تغییرات Registry را تحت نظر دارند و قادر هستند فعالیت های مشکوک آنرا تشخیص دهند، شانس بیشتری در شناسایی بدافزار Poweliks خواهند داشت.