بدافزاری که در رجیستری ویندوز خانه می‌کند

برخی از بدافزارها در راه‌اندازی‌های مجدد سیستم و پس از پاک شدن حافظه، نمی‌توانند به حیات خود ادامه دهند، اما چنین موضوعی برای این بدافزار که Poweliks نام دارد، صدق نمی کند. به گفته محققان شرکت امنیتی G Data ، این بدافزار از روش جدیدی برای بقای خود استفاده کرده و در عین حال هیچ فایلی نیز ایجاد نمی‌کند.

هنگامی که Poweliks سیستمی را آلوده می‌کند، یک ورودی در رجیستری ایجاد می‌نماید که فایل ویندوزی معتبر rundll32.exe و سپس کد جاوا اسکریپت رمز شده‌ ای را اجرا می‌کند. کد جاوا اسکریپت مزبور بررسی می‌کند که آیا Windows PowerShell که یک پوسته خط فرمان و محیط اسکریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتی‌که این پوسته وجود نداشته باشد، آن را دانلود کرده و نصب می‌نماید و سپس به رمزگشایی کدهای دیگری که در حقیقت یک اسکریپت PoweShell است می پردازد.

این اسکریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیش‌فرض ویندوز که از اجرای اسکریپت‌های ناشناس PowerShell بدون تأیید کاربر جلوگیری می‌کند، اجرا می‌گردد. سپس این اسکریپت Shellcode را که یک DLL را مستقیما به حافظه سیستم تزریق می‌کند، رمزگشایی کرده و اجرا می‌نماید.

هنگامی که این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس IP در قزاقستان متصل شده و دستورات را دریافت می‌کند. این بدافزار می‌تواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به کار رود.

در طول این پروسه، از زمان اجرای کد جاوا اسکریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابکاری بر روی هارد دیسک ایجاد نمی‌کند که این مسأله، شناسایی آن را برای آنتی‌ویروس‌ها مشکل می‌سازد.

علاوه بر اینها، نام کلید رجیستری ایجاد شده توسط Poweliks یک کاراکتر غیر اسکن است. این ترفندی است که از نمایش ورودی رجیستری توسط regedit و احتمالا سایر برنامه‌ها جلوگیری می‌کند و به این ترتیب شناسایی دستی آلودگی را برای کاربر و نیز تحلیلگران بدافزار مشکل می‌سازد.

شایان ذکر است برخی ویرایش‌های Poweliks ، ازطریق اسناد مخرب Word منتشر شده اند و وانمود می کنند که از ادارات پست کانادا یا پست ایالات متحده ارسال گردیده اند.