Mas sobre el Poweliks, el malware que no crea ningún archivo, y se oculta en el registro.
El fin principal de la mayoría del malware, es crear uno o varios procesos malicioso(s) y en segundo lugar es permanecer desapercibidos en el sistema durante el mayor tiempo posible. Como los desarrolladores de software de seguridad constantemente mejoran los métodos de detección, los creadores de malware siempre están tratando mantenerse un paso por delante de ellos.
Tomemos, por ejemplo, Poweliks un malware recientemente descubierto y analizado por los investigadores de G Data. Poweliks es un troyano cuyo objetivo principal es descargar malware adicional en el sistema. Hasta ahora, eso no es nada nuevo.
“Cuando los investigadores de seguridad hablan de malware, por lo general se refieren a los archivos almacenados en un sistema informático, que tiene la intención de dañar un dispositivo o robar datos confidenciales de la misma. Estos archivos pueden ser escaneados por los motores de AV y pueden ser detectados y eliminados de una manera clásica,” dice el investigador Paul Rascagneres.
Pero este malware es capaz de sobrevivir en el sistema infectado sin crear un archivo – todas sus tareas se llevan a cabo dentro de la memoria.
“Para evitar los ataques de este tipo, las soluciones antivirus tienen que o bien analizar el archivo (un documento Word por lo general) antes de ser ejecutado (si estuviera infectado), preferentemente antes de llegar a la bandeja de entrada del correo electrónico del cliente. O, como segunda línea de defensa, detectar el software malicioso después de la ejecución del archivo, o, como último paso, detectar un comportamiento inusual en el registro, bloquear los procesos correspondientes y alertar al usuario “.
Como hemos dicho, Poweliks no crea un archivo, pero crea una clave de registro de inicio automático codificado que asegura que las actividades maliciosas sobreviva en el sistema después de los reinicios. Y aquí, de nuevo, los autores del malware han encontrado una manera para que esta clave maliciosa pueda mantener un perfil bajo y resistir a los intentos de análisis: la clave del registro no es un carácter ASCII (non-ASCII), que oculta de las herramientas de protección del sistema y evita que se abra.
“Esta amenaza evita una gran cantidad de herramientas de procesamiento y análisis, además puede generar un montón de problemas en los equipos de respuesta e incidentes durante su estudio. El mecanismo se puede utilizar para iniciar cualquier programa en el sistema infectado y esto hace que sea muy potente”, comentó Rascagneres.
Ver mas informacion al respecto en Fuente:
Afortunadamente, en el informe de virustotal al respecto de este malware, vemos que ya lo detectan la mayoría de antivirus (47 de 55) :
MD5 a4ce3481d479362fb0f57b6b8a11d0a2
SHA1 f60b3b419c101f07ff48ae3079018596463fd589
SHA256: e8d6943742663401e5c44a5fa9cfdd8fad6a9a0dc0f886dc77c065a86c0e10aa
File name: Unknown
Detection ratio: 47 / 55
Analysis date: 2014-09-06 01:06:37 UTC ( 2 days, 7 hours ago )
0 5
Antivirus Result Update
AVG Crypt3.GXV 20140905
AVware Trojan.Win32.Generic!BT 20140906
Ad-Aware Trojan.Poweliks.A 20140906
Agnitum Backdoor.PMax!HbJmY7oXpcI 20140905
AhnLab-V3 Trojan/Win32.Caphaw 20140905
Antiy-AVL Trojan[Backdoor]/Win32.PMax 20140905
Avast Win32:Poweliks-A [Trj] 20140906
Avira BDS/PMax.aswv 20140906
Baidu-International Backdoor.Win32.PMax.aNS 20140905
BitDefender Trojan.Poweliks.A 20140906
Bkav HW32.Laneul.maqi 20140904
CAT-QuickHeal Backdoor.PMax.r7 20140904
ClamAV Win.Trojan.Soraya 20140905
Comodo UnclassifiedMalware 20140905
Cyren W32/Powerliks.BPCJ-3570 20140906
DrWeb Trojan.Winlock.8811 20140906
ESET-NOD32 Win32/Poweliks.A 20140905
Emsisoft Backdoor.Win32.PMax (A) 20140906
F-Prot W32/Powerliks.A 20140906
F-Secure Trojan.Poweliks.A 20140906
Fortinet W32/Kryptik.CDCX!tr 20140906
GData Trojan.Poweliks.A 20140906
Ikarus Trojan.Crypt3 20140905
K7AntiVirus Trojan ( 0049882d1 ) 20140905
K7GW Trojan ( 0049882d1 ) 20140905
Kaspersky Backdoor.Win32.PMax.ger 20140906
Malwarebytes Trojan.ICS 20140906
McAfee Downloader-FAAZ!A4CE3481D479 20140906
McAfee-GW-Edition Downloader-FAAZ!A4CE3481D479 20140905
MicroWorld-eScan Trojan.Poweliks.A 20140906
Microsoft Trojan:Win32/Powessere.A 20140906
NANO-Antivirus Trojan.Win32.PMax.cwmgyb 20140906
Norman Troj_Generic.TNNHD 20140905
Panda Trj/Genetic.gen 20140905
Qihoo-360 HEUR/Malware.QVM19.Gen 20140906
Rising PE:Trojan.Win32.Generic.16A4485A!379865178 20140905
Sophos Troj/PMax-C 20140906
Symantec Trojan.Poweliks 20140905
Tencent Win32.Backdoor.Pmax.Lnog 20140906
TotalDefense Win32/Tnega.NTHacS 20140905
TrendMicro TROJ_POWELIKS.A 20140906
TrendMicro-HouseCall TROJ_POWELIKS.A 20140906
VBA32 Backdoor.PMax 20140905
VIPRE Trojan.Win32.Generic!BT 20140906
ViRobot Trojan.Win32.Poweliks.75776 20140905
Zillya Backdoor.PMax.Win32.4595 20140904
nProtect Trojan.Poweliks.A 20140905
De todas formas es preocupante el uso exclusivo, una vez instalado en el ordenador, del Registro de Windows por parte del malware, de forma que los sistemas convencionales no lo detecten, y lo peor es que se convierta en una moda que sigan futuras variantes de malware, por dicha dificultad de detección. Por lo menos vemos que los fabricantes de Antivirus “se han puesto las pilas”, y al menos esta vez ya lo controlan la mayoría 😉
saludos
ms, 8-9-2014
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.