Троян Poweliks использует системный реестр для избежания обнаружения

Троян Poweliks использует системный реестр для избежания обнаружения

Poweliks остается на зараженном устройстве после перезапуска системы благодаря механизму устойчивости.

Вносящая изменения в системный реестр троянская программа Poweliks впервые была обнаружена специалистами в 2014 году. Троян не создает никаких файлов на компьютере жертвы, его можно найти только в виде записи в реестре Windows. Механизм устойчивости Poweliks позволяет ему оставаться на зараженном устройстве после перезапуска системы. Кроме того, вредоносное ПО использует специальный метод присвоения имен для того, чтобы усложнить обнаружение, а затем использует перехват CLSID с целью сохранения своей устойчивости. Poweliks делает компьютер жертвы частью ботнета.

Специалисты Symantec провели тщательный анализ Poweliks. В результате им удалось выяснить, что троян использует несколько методов для того, чтобы сохранить свое присутствие в реестре. При помощи файла rundll32.exe Poweliks выполняет ранее встроенный им в подраздел реестра код. JavaScript-код содержит инструкции чтения дополнительных данных с реестра, которые выступают в качестве полезной нагрузки, а затем выполняет их. Некоторые из этих данных шифруются, а после дешифрования и выполнения троян осуществляет их установку. Эксперты называют это «процессом Watchdog». Он используется для поддерживания устойчивости вредоносного ПО на компьютере жертвы. Процесс Watchdog постоянно проверяет присутствие и работу Poweliks, а также наличие подразделов реестра. В случае, если пользователь удалил подразделы, процесс восстанавливает их.

Poweliks использует несколько способов защиты вредоносной записи системного реестра. Троянская программа создает дополнительный подраздел реестра с механизмом, который предотвращает его открытые и просмотр. Подраздел содержит запись, созданную с использованием символов, которые отсутствуют в наборе печатаемых символов Unicode. Это предотвращает целый подраздел LocalServer32 от чтения и удаления. Некоторые инструменты для работы с реестром позволяют осуществить чтение подраздела, но стандартный редактор реестра Windows не предоставляет такой возможности.


Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!