Principal » Internet » Poweliks - Troian care nu creează fișiere, care rulează în cadrul Registrului

Poweliks - Troian care nu creează fișiere, care rulează în cadrul Registrului

Internet : Poweliks - Troian care nu creează fișiere, care rulează în cadrul Registrului

Cum ar fi software-ul antivirus evoluează, care într-adevăr nu mai este același anti-virus, deoarece acest lucru nu ar fi putut să asigure o protecție adecvată, de asemenea, evoluează diferite tipuri de dăunători. Cercetătorii de la Datele G Companiei G au apărut un tip interesant de pericol. Analiza sa precisă a arătat că el a fost capabil să funcționeze fără fișiere, infectează registrul de sistem și se dezvoltă în ea. Efectele sunt grave, deoarece lupta împotriva unei astfel de amenințări este mult mai dificilă decât credeți.

Când vorbim despre viruși, troieni și adware, cele mai multe înțelegeri care sunt localizate fizic pe hard disk-ul computerului dvs., infectează alte fișiere, criptați datele sau le distruge. Acest caz este diferit. Poweliks, pentru că aceasta se numește o amenințare, nu creează fișiere suplimentare. Întregul cod de pericol este într-un singur fișier, este criptat și efectuat după pornirea utilizatorului sau o altă aplicație fiind un inițiator de atac. Potrivit cercetătorilor, acțiunile sale suplimentare seamănă... Reguli de stivuire rusești Jucăriile, păpușile: codul și efectuează un alt cod de încorporare, următorul etc.

Accesul la cheia ascunsă nu este posibil

Inițial, Poweliks utilizează lacune în editorul de text de la Microsoft Office. Acesta a fost conceput de către ajunge de fișiere pentru a infecta mai multe mașini - ca și în multe cazuri, de asemenea, și aici este folosit pentru a trimite e-mail vierme - amintiți-vă de atașamente acest tip nu sunt de încredere. În cazul în care o astfel de descărcări victimă fișier și acesta pornește, dăunătorul va crea o cheie de registru codificata pe autostradă. Nu utilizează caracterul ASCII, ca rezultat, rămâne neobservat deoarece cheia este ascunsă și nu este disponibilă pentru viziunea instrumentelor administrative, cum ar fi Regedit.

Decodarea această cheie arată ceea ce face dăunătorul următor, după repornirea sistemului: utilizarea apelului rundll32.Exe și codul JavaScript verifică dacă sistemul este echipat cu o linie de comandă PowerShell, dacă este cazul, instalează codul codificat în baza de bază64. Aceasta efectuează așa-numita. Codul de cochilie scris în asamblare. Acest cod se conectează la două adrese în Kazahstan și se așteaptă la comenzi - poate descărca alți dăunători și pot dezactiva diferite componente ale sistemului. Asta e.. După cum puteți vedea, operațiunea nu a solicitat crearea unui fișier, un singur transportator troian singur, document Word.

Această acțiune exclude capacitatea de a detecta folosind tehnici standard de scanare. Pentru nimic nu pare să monitorizeze fișierele critice ale sistemului sau a zonelor temporare, pur și simplu pentru că nimic din ele nu va fi modificat. Nimic pe sistemele bazate pe reputație, pentru că nu există nimic de a trage cu hash pentru a fi capabil să-l verifice. Folosind acest tip de metodă, singura linie defensivă este de a scana fișiere de cuvinte și de a căuta un cod rău intenționat în ele. Nu orice program de protecție implicit scanează acest tip de fișiere, cele mai multe controale doar script-urile incluse în ele, iar acest lucru nu este suficient pentru a detecta această amenințare.

Cum vă puteți apăra împotriva lui Powelik? Este necesar să utilizați software-ul care ne va informa despre încercarea de a modifica registrul sau blochează-o singur. Ca o mulțime de aplicații adaugă intrări corespunzătoare pe autostradă, această a doua metodă nu poate funcționa în ciuda inspecției active - pachetul ignoră amenințarea. Există o mai bună alegere a protecției mâinilor utilizând software de protecție proactivă (de ex. HIPS MODULES). Promptul potrivit, solicitând permisiunea de a crea o cheie de autostart atunci când porniți fișierul Word ar trebui să fie suspectat suficient pentru ca noi să îl blocați imediat.

Programe

Actualizări. Actualizări de știri. Vezi mai multe> Software

Recomandat
Lasă Un Comentariu