بدافزاری كه در رجيستری ويندوز خانه می‌كند

شماره: IRCNE2014082277
تاريخ: 93/05/14

محققان امنيتي هشدار دادند كه يك برنامه بدافزاري جديد به نام Poweliks سعي مي‌كند با اجراي كامل از روي رجيستري سيستم و بدون ايجاد فايلي بر روي سيستم، از شناسايي و تحليل خود توسط متخصصان امنيتي جلوگيري نمايد.
ايده بدافزار «بدون فايل» كه صرفاً در حافظه سيستم وجود دارد جديد نيست، ولي چنين تهديداتي نادر هستند، چرا كه نوعاً در راه‌اندازي‌هاي مجدد سيستم و پس از پاك شدن حافظه، نمي‌توانند به حيات خود ادامه دهند. اما در مورد Poweliks اين مسأله صادق نيست. به گفته محققان بدافزارهاي شركت امنيتي G Data Software، اين بدافزار از روش جديدي براي بقاي خود استفاده مي‌كند و در عين حال هيچ فايلي نيز ايجاد نمي‌كند.
هنگامي كه Poweliks سيستمي را آلوده مي‌كند، يك مدخل در رجيستري ايجاد مي‌نمايد كه فايل ويندوزي معتبر rundll32.exe و سپس كد جاوا اسكريپت رمز شده‌اي را اجرا مي‌كند. اين كار پردازه‌اي را راه‌اندازي مي‌كند.
كد جاوا اسكريپت مزبور بررسي مي‌كند كه آيا Windows PowerShell كه يك پوسته خط فرمان و محيط اسكريپتينگ است بر روي سيستم وجود دارد يا خير. درصورتي‌كه اين پوسته وجود نداشته باشد، آن را دانلود كرده و نصب مي‌نمايد و سپس كدهاي ديگري را كه در حقيقت يك اسكريپت PoweShell است رمزگشايي مي‌كند.
اين اسكريپت PowerShell با استفاده از ترفندي براي دور زدن محافظ پيش‌فرض ويندوز كه از اجراي اسكريپت‌هاي ناشناس PowerShell بدون تأييد كاربر جلوگيري مي‌كند، اجرا مي‌گردد. سپس اين اسكريپت Shellcode را كه يك DLL را مستقيماً به حافظه سيستم تزريق مي‌كند، رمزگشايي كرده و اجرا مي‌نمايد.
هنگامي كه اين DLL تقلبي در حال اجرا در حافظه است، به دو آدرس آي‌پي در قزاقستان متصل شده و دستورات را دريافت مي‌كند. اين بدافزار مي‌تواند بسته به تمايل مهاجم براي دانلود و نصب ساير تهديدات به كار رود.
در طول اين پروسه، از زمان اجراي كد جاوا اسكريپت تا تزريق نهايي DLL، اين بدافزار هيچ فايل خرابكاري بر روي هارد ديسك ايجاد نمي‌كند كه اين مسأله، شناسايي آن را براي آنتي‌ويروس‌ها مشكل مي‌سازد.
علاوه بر اينها، نام كليد رجيستري ايجاد شده توسط Poweliks يك كاراكتر غير اسكي است. اين ترفندي است كه از نمايش اين مدخل رجيستري توسط regedit (ابزار ويرايش رجيستري ويندوز) و احتمالاً ساير برنامه‌ها جلوگيري مي‌كند و به اين ترتيب شناسايي دستي آلودگي را براي كاربر و نيز تحليلگران بدافزار مشكل مي‌سازد.
برخي ويرايش‌هاي Poweliks ازطريق اسناد خرابكار Word كه به هرزنامه‌ها پيوست شده بودند و وانمود مي‌كردند كه از پست كانادا يا پست ايالات متحده ارسال شده‌اند، منتشر گشته‌اند. اين اسناد خرابكار از يك آسيب‌پذيري اجراي كد از راه دور در آفيس 2003، 207 و 2010 كه در آوريل 2012 اصلاح شده بود استفاده مي‌كردند. البته با توجه به ساير گزارش‌ها، اين بدافزار همچنين از طريق حملات drive-by download كه از نقايص وب استفاده مي‌كنند نيز منتشر شده است.
آنتي‌ويروس‌ها براي مسدود كردن بدافزاري مانند Powliks بايد يا فايل Word اوليه را پيش از اجرا و ترجيحاً پيش از رسيدن به صندوق پستي كاربر توقيف نمايند يا اينكه در خط بعدي دفاعي، پس از اجراي فايل قادر به شناسايي كد سوء استفاده كننده از آسيب‌پذيري نرم‌افزار باشند، و يا در نهايت، رفتار غيرمعمول را تشخيص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.