Эксперт рассказал о вредоносном ПО, которое локализируется в реестре и не создает файлы

image

Теги: вредоносное ПО, реестр, файл

С помощью вредоноса злоумышленники могут осуществлять любые действия даже после перезагрузки системы.

ИБ-эксперт Пол Раскагнерес (Paul Rascagneres)  сообщил  о редкой разновидности вредоносного ПО, которое инфицирует системы и похищает данные без установки файлов. Оно локализируется исключительно в реестре компьютера, поэтому вредонос весьма сложно обнаружить.

Заражение происходит через открытие вредоносного документа Microsoft Word. Сначала создается скрытый зашифрованный ключ реестра, а затем выполняются шелл-код и полезная нагрузка. «Вся активность происходит в реестре. Никакие файлы не создаются,- сообщил Раскагнерес. – Таким образом злоумышленники могут обойти классические технологии сканирования файлов и, проникнув в глубокий слой [машины], могут осуществлять любые действия даже после перезагрузки системы».

По словам эксперта, для того, чтобы предотвратить подобные атаки, антивирусные решения должны перехватить вредоносный документ Microsoft Word еще до того, как он попал в электронный почтовый ящик пользователя, и не допустить его выполнения.

Windows Regedit не может прочитывать или открывать входы, которые осуществляются с помощью ключа, зашифрованного не в ASCII. Microsoft использует эту особенность для предотвращения копирования исходного кода. Тем не менее, ранее эта функция была взломана.

Для того чтобы обезопасить себя, пользователи могут использовать инструменты безопасности, способные обнаружить эксплоит, а также проверять реестр на наличие подозрительной активности. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.