Троян Poweliks использует системный реестр для избежания обнаружения

Троян PoweliksВносящая изменения в системный реестр троянская программа Poweliks впервые была обнаружена специалистами в 2014 году. Троян не создает никаких файлов на компьютере жертвы, его можно найти только в виде записи в реестре Windows. Механизм устойчивости Poweliks позволяет ему оставаться на зараженном устройстве после перезапуска системы. Кроме того, вредоносное ПО использует специальный метод присвоения имен для того, чтобы усложнить обнаружение, а затем использует перехват CLSID с целью сохранения своей устойчивости. Poweliks делает компьютер жертвы частью ботнета.

Специалисты Symantec провели тщательный анализ Poweliks. В результате им удалось выяснить, что троян использует несколько методов для того, чтобы сохранить свое присутствие в реестре. При помощи файла rundll32.exe Poweliks выполняет ранее встроенный им в подраздел реестра код. JavaScript-код содержит инструкции чтения дополнительных данных с реестра, которые выступают в качестве полезной нагрузки, а затем выполняет их. Некоторые из этих данных шифруются, а после дешифрования и выполнения троян осуществляет их установку. Эксперты называют это «процессом Watchdog». Он используется для поддерживания устойчивости вредоносного ПО на компьютере жертвы. Процесс Watchdog постоянно проверяет присутствие и работу Poweliks, а также наличие подразделов реестра. В случае, если пользователь удалил подразделы, процесс восстанавливает их.

Poweliks использует несколько способов защиты вредоносной записи системного реестра. Троянская программа создает дополнительный подраздел реестра с механизмом, который предотвращает его открытые и просмотр. Подраздел содержит запись, созданную с использованием символов, которые отсутствуют в наборе печатаемых символов Unicode. Это предотвращает целый подраздел LocalServer32 от чтения и удаления. Некоторые инструменты для работы с реестром позволяют осуществить чтение подраздела, но стандартный редактор реестра Windows не предоставляет такой возможности. 

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Троян Poweliks использует системный реестр для избежания обнаружения