Poweliks trójai

CH azonosító

CH-11524

Angol cím

Trojan.Poweliks

Felfedezés dátuma

2014.08.14.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft
Windows 7
Windows 8

Érintett verziók

Microsoft Windows verziói

Összefoglaló

A Poweliks trójai a teljesen ártalmatlan szoftvereket, illetve szoftveres összetevők felhasználásával éri el célját. Alapvetően a .NET keretrendszer és a PowerShell adta lehetőségekre épít, és az sem okoz neki gondot, hogyha ezek nem találhatóak meg a fertőzött számítógépen. Ekkor ugyanis a szükséges összetevőket a Microsoft hivatalos weboldalairól letölti, majd feltelepíti. 

A Poweliks célja, hogy egy JavaScript fájlból dekódolással egy PowerShell scripthez jusson, amelynek segítségével az ártalmas kódját betöltheti a memóriába. Így lehetősége adódik arra, hogy csatlakozzon egy vezérlőszerverhez, és fogadni tudja a támadók utasításait. 

A Poweliks elsősorban más trójai programok révén kerülhet fel a számítógépekre.

Leírás

1. A regisztrációs adatbázishoz hozzáadja a következő értékeket:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”(default)” = “[…]”
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun”[NON-ASCII STRING]” = “rundll32.exe javascript:”..mshtml,RunHTMLApplication “;document.write(“…”)”

2. Ellenőrzi, hogy a számítógépen van-e telepített PowerShell és megfelelő .NET keretrendszer.

3. Ha nincsen, akkor letölti a Microsoft oldaláról és gondoskodik azok telepítéséről.

4. Egy számítógépre feljuttatott JavaScriptből kiexportál egy PowerShell scriptet, amit lefuttat. Ennek segítségével egy kártékony, bináris kódot tölt be a memóriába.

5. Csatlakozik egy távoli kiszolgálóhoz. A trójai a következő IP címekhez kapcsolódik:

  • 178.89.159.34 
  • 178.89.159.35 

6. Nyit egy hátsó kaput, és fogadja a támadók parancsait.

7. Eltávolítja a saját állományait.

Megoldás

Windows Defender és a vírusírtók napra készen tartása.