Poweliks trójai


2014. augusztus 17. 05:59

CH azonosító

CH-11524

Angol cím

Trojan.Poweliks

Felfedezés dátuma

2014.08.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Microsoft Windows verziói

Összefoglaló

A Poweliks trójai a teljesen ártalmatlan szoftvereket, illetve szoftveres összetevők felhasználásával éri el célját. Alapvetően a .NET keretrendszer és a PowerShell adta lehetőségekre épít, és az sem okoz neki gondot, hogyha ezek nem találhatóak meg a fertőzött számítógépen. Ekkor ugyanis a szükséges összetevőket a Microsoft hivatalos weboldalairól letölti, majd feltelepíti. 

A Poweliks célja, hogy egy JavaScript fájlból dekódolással egy PowerShell scripthez jusson, amelynek segítségével az ártalmas kódját betöltheti a memóriába. Így lehetősége adódik arra, hogy csatlakozzon egy vezérlőszerverhez, és fogadni tudja a támadók utasításait. 

A Poweliks elsősorban más trójai programok révén kerülhet fel a számítógépekre.

Leírás

1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”(default)” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[NON-ASCII STRING]” = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;document.write(“…”)”

2. Ellenőrzi, hogy a számítógépen van-e telepített PowerShell és megfelelő .NET keretrendszer.

3. Ha nincsen, akkor letölti a Microsoft oldaláról és gondoskodik azok telepítéséről.

4. Egy számítógépre feljuttatott JavaScriptből kiexportál egy PowerShell scriptet, amit lefuttat. Ennek segítségével egy kártékony, bináris kódot tölt be a memóriába.

5. Csatlakozik egy távoli kiszolgálóhoz. A trójai a következő IP címekhez kapcsolódik:

  • 178.89.159.34 
  • 178.89.159.35 

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Eltávolítja a saját állományait.

Megoldás

Windows Defender és a vírusírtók napra készen tartása.

Támadás típusa

Hijacking (Visszaélés)
Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: www.symantec.com

Legfrissebb sérülékenységek
CVE-2025-21308 – Windows Themes Spoofing sebezhetősége
CVE-2025-21275 – Windows App Package Installer Elevation of Privilege sebezhetősége
CVE-2025-21335 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21334 – Microsoft Windows Hyper-V NT Kernel Integration VSP Use-After-Free sebezhetősége
CVE-2025-21333 – Microsoft Windows Hyper-V NT Kernel Integration VSP Heap-based Buffer Overflow sebezhetősége
CVE-2024-41713 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2024-55550 – Mitel MiCollab Path Traversal sérülékenysége
CVE-2021-44207 – Acclaim Systems USAHERDS Use of Hard-Coded Credentials sérülékenysége
CVE-2024-12356 – BeyondTrust Privileged Remote Access (PRA) and Remote Support (RS) Command Injection sérülékenysége
CVE-2022-23227 – NUUO NVRmini2 Devices Missing Authentication sérülékenysége
Tovább a sérülékenységekhez »