Мир: Новый вредоносный код использует PowerShell и Rundll32

0

Киберпреступники занялись разработкой вредоносного программного обеспечения, использующего гибкие возможности командной строки PowerShell, реализованной Microsoft в Windows. При помощи Windows PowerShell преступники надеются пройти мимо установленного антивирусного программного обеспечения.

Напомним, что Windows PowerShell представляет собой командную оболочку и скриптовую среду одновременно, которые созданы для автоматизации системных задач и приложений с административными заданиями. Изначально PowerShell появилась начиная с Windows 7, однако позже Microsoft выпустила PowerShell и для более ранних Windows, начиная с XP.

Сейчас антивирусные лаборатории Symantec и TrendMicro независимо друг от друга сообщили об обнаружении вредоносного кода, имеющего несколько слоев обфускации и способного встраивать вредоносный код в системный файл rundll32.exe. Код может прятаться в структуре rundll32 и работать одновременно как бэкдор и как троянец.

При запуске вредоносный скрипт компилирует и исполняет вредоносный код, который встраивается на лету. Скомпилированный код встраивается в rundll32 как системный процесс, что значительно усложняет процесс детектирования. Хакерский код в системном файле также подключается к удаленному серверу и ожидает инструкций от него, которые в будущем исполняются в скрытом режиме. В Trend Micro говорят, что код также использует модуль Power Worm, работающий с PowerShell. Заражение вредоносном происходит через специально сконструированные Word- и Excel-файлы, которые исполняются во время открытия. После открытия первичный код посредством анонимного прокси Polipo подгружаются дополнительные элементы. (Trend Micro/NovostIT)