Malware é nada mais que um arquivos maliciosos que são armazenados em um sistema de computador infectado, a fim de danificar o sistema ou roubar dados sensíveis ou executar outras atividades maliciosas. Mas os pesquisadores de segurança descobriram um novo e sofisticado malware que infecta sistemas e dados rouba sem instalar qualquer arquivo no sistema alvo.
Os pesquisadores apelidaram este malware persistente como Poweliks, que reside somente no registro do computador e não é, portanto, facilmente detectável como outros tipos de malware típico que instala arquivos no sistema afetado, que pode ser verificado pelo antivírus ou software anti-malware.
De acordo com Paul Rascagneres, Pesquisador Sênior Threat, analista de malware em software GData, devido ao malware da subseqüente e passo após passo a execução de código, o conjunto de recursos foi semelhante a um empilhamento de princípios da abordagem Matryoshka Doll.
De modo a infectar um sistema, o malware se espalha através de e-mails através de um documento malicioso Microsoft Word e depois que ele cria uma chave de registro codificado autostart e permanecer indetectável, mantém a chave de registro escondido, diz Rascagneres.
O malware então cria e executa shellcode, junto com uma carga útil do Windows binário que tentou se conectar a endereços IP 'codificados', em um esforço para receber mais comandos do atacante.
"Todas as atividades são armazenadas no registro. Nenhum arquivo é já criado", disse Rascagneres em um post de blog. "Então, os atacantes são capazes de burlar as técnicas de digitalização de arquivos anti-malware clássicos com tal abordagem e são capazes de realizar qualquer ação desejada quando atingem a camada mais interna [a máquina], mesmo depois de uma re-inicialização do sistema."
"Para impedir ataques como esse, soluções de antivírus tem que quer pegar o documento inicial do Word antes de ser executado (se houver), de preferência antes de chegar caixa de entrada de e-mail do cliente."
Para criar um mecanismo de autostart, o malware cria um registro, que é uma chave de caracteres não-ASCII, como o Windows Regedit não pode ler ou abrir a entrada de chave non-ASCII.
Capacidades do Powelinks Malware
Poweliks malware é bastante perigoso e pode realizar uma série de atividades maliciosas.
O malware pode:
Fazer download de qualquer carga
Instalar spyware no computador infectado para colher informações pessoais ou de negócios, documentos dos usuários
Instalar Trojans bancários, a fim de roubar o dinheiro
Instalar qualquer outro tipo de software malicioso que pode satisfazer as necessidades dos atacantes
utilizado em estruturas de redes de bots
O truque non-ASCII é uma ferramenta que a Microsoft criou e usa para esconder seu código fonte sejam copiados ou alterados, mas este recurso mais tarde estava rachado por um pesquisador de segurança.
Os pesquisadores de segurança e de malware no fórum KernelMode.info mês passado analisou uma amostra que é abandonada por um documento do Microsoft Word que explorava a vulnerabilidade descrita no CVE-2012-0158, que afetou os produtos da Microsoft, incluindo o Microsoft Office.
Os autores de malware distribuído o malware como um anexo do falso Canada Post e / ou USPS email supostamente segurando informações de rastreamento.
"Esse truque evita um monte de ferramentas de processamento desta entrada malicioso em tudo e que poderia gerar uma série de problemas para as equipes de resposta a incidentes durante a análise. O mecanismo pode ser usado para iniciar qualquer programa no sistema infectado e isso torna muito poderosa ", disse Rascagneres.
Fonte: TheHackerNews