12 jun. 2015

Poweliks: malware que se almacena en el registro de Windows

Poweliks apareció en 2014 y llamó la atención por ser la primera amenaza basada totalmente en registro de Windows. Poweliks es fileless, no se almacena como archivo en el sistema infectado y tiene un mecanismo de persistencia que le permite permanecer en el equipo comprometido, incluso después de reiniciar el sistema.

Este troyano además utiliza otros trucos del registro, como un método especial de nombres, para que sea difícil para los usuarios encontrar el CLSID relacionado y aprovecha una vulnerabilidad de escalamiento de privilegios (CVE-2015-0016) 0-Day (MS15-004, parcheado en enero) para tomar el control de la computadora comprometida. Además, esta amenaza agrega al sistema infectado una botnet de fraude de clicks y lo obliga a descargar anuncios sin el conocimiento de la víctima.
Poweliks utiliza el archivo legítimo de Windows rundll32.exe (azul) para ejecutar el código JavaScript (rojo) que a incrustado en la subclave del registro El código JavaScript tiene instrucciones para leer los datos adicionales del registro, que actúa como la carga útil (verde), y luego ejecutarlo.
Algunos de estos datos están codificados y luego de ejecutado, se instala un proceso de vigilancia que se utiliza para mantener la persistencia en el sistema infectado.

Symantec ha analizado en profundidad en Poweliks [PDF] para ver cómo ha evolucionado esta amenaza y cómo trata de evadir la detección y esconderse en el registro.

Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!