Мир: Троян Poweliks использует системный реестр для избежания обнаружения

1

Вносящая изменения в системный реестр троянская программа Poweliks впервые была обнаружена специалистами в 2014 г. Троян не создает никаких файлов на компьютере жертвы, его можно найти только в виде записи в реестре Windows. Механизм устойчивости Poweliks позволяет ему оставаться на зараженном устройстве после перезапуска системы. Кроме того, вредоносное ПО использует специальный метод присвоения имен для того, чтобы усложнить обнаружение, а затем использует перехват CLSID с целью сохранения своей устойчивости. Poweliks делает компьютер жертвы частью ботнета.


Специалисты Symantec провели тщательный анализ Poweliks. В результате им удалось выяснить, что троян использует несколько методов для того, чтобы сохранить свое присутствие в реестре. При помощи файла rundll32.exe Poweliks выполняет ранее встроенный им в подраздел реестра код. JavaScript-код содержит инструкции чтения дополнительных данных с реестра, которые выступают в качестве полезной нагрузки, а затем выполняет их. Некоторые из этих данных шифруются, а после дешифрования и выполнения троян осуществляет их установку. Эксперты называют это “процессом Watchdog”. Он используется для поддерживания устойчивости вредоносного ПО на компьютере жертвы. Процесс Watchdog постоянно проверяет присутствие и работу Poweliks, а также наличие подразделов реестра. В случае, если пользователь удалил подразделы, процесс восстанавливает их.

Poweliks использует несколько способов защиты вредоносной записи системного реестра. Троянская программа создает дополнительный подраздел реестра с механизмом, который предотвращает его открытые и просмотр. Подраздел содержит запись, созданную с использованием символов, которые отсутствуют в наборе печатаемых символов Unicode. Это предотвращает целый подраздел LocalServer32 от чтения и удаления. Некоторые инструменты для работы с реестром позволяют осуществить чтение подраздела, но стандартный редактор реестра Windows не предоставляет такой возможности. (Symantec/NovostIT)