Összefoglaló
A Poweliks trójai a teljesen ártalmatlan szoftvereket, illetve szoftveres összetevők felhasználásával éri el célját. Alapvetően a .NET keretrendszer és a PowerShell adta lehetőségekre épít, és az sem okoz neki gondot, hogyha ezek nem találhatóak meg a fertőzött számítógépen. Ekkor ugyanis a szükséges összetevőket a Microsoft hivatalos weboldalairól letölti, majd feltelepíti.
A Poweliks célja, hogy egy JavaScript fájlból dekódolással egy PowerShell scripthez jusson, amelynek segítségével az ártalmas kódját betöltheti a memóriába. Így lehetősége adódik arra, hogy csatlakozzon egy vezérlőszerverhez, és fogadni tudja a támadók utasításait.
A Poweliks elsősorban más trójai programok révén kerülhet fel a számítógépekre.
Leírás
1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”(default)” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[NON-ASCII STRING]” = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;document.write(“…”)”
2. Ellenőrzi, hogy a számítógépen van-e telepített PowerShell és megfelelő .NET keretrendszer.
3. Ha nincsen, akkor letölti a Microsoft oldaláról és gondoskodik azok telepítéséről.
4. Egy számítógépre feljuttatott JavaScriptből kiexportál egy PowerShell scriptet, amit lefuttat. Ennek segítségével egy kártékony, bináris kódot tölt be a memóriába.
5. Csatlakozik egy távoli kiszolgálóhoz. A trójai a következő IP címekhez kapcsolódik:
- 178.89.159.34
- 178.89.159.35
6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.
7. Eltávolítja a saját állományait.
Megoldás
Windows Defender és a vírusírtók napra készen tartása.
Támadás típusa
Hijacking (Visszaélés)Information disclosure (Információ/adat szivárgás)
Manipulation of data
Security bypass (Biztonsági szabályok megkerülése)
System access (Rendszer hozzáférés)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: www.symantec.com