• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

    Poweliks el malware que no crea ningún archivo, pero se oculta en el registro. El fin principal de la mayoría del malware, es crear uno o varios procesos malicioso(s) y en segundo lugar es permanecer ...

          
    1. #1
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

      Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.


      El fin principal de la mayoría del malware, es crear uno o varios procesos malicioso(s) y en segundo lugar es permanecer desapercibidos en el sistema durante el mayor tiempo posible. Como los desarrolladores de software de seguridad constantemente mejoran los métodos de detección, los creadores de malware siempre están tratando mantenerse un paso por delante de ellos.

      Tomemos, por ejemplo, Poweliks un malware recientemente descubierto y analizado por los investigadores de G Data. Poweliks es un troyano cuyo objetivo principal es descargar malware adicional en el sistema. Hasta ahora, eso no es nada nuevo.

      "Cuando los investigadores de seguridad hablan de malware, por lo general se refieren a los archivos almacenados en un sistema informático, que tiene la intención de dañar un dispositivo o robar datos confidenciales de la misma. Estos archivos pueden ser escaneados por los motores de AV y pueden ser detectados y eliminados de una manera clásica," dice el investigador Paul Rascagneres.

      Pero este malware es capaz de sobrevivir en el sistema infectado sin crear un archivo - todas sus tareas se llevan a cabo dentro de la memoria.

      "Para evitar los ataques de este tipo, las soluciones antivirus tienen que o bien analizar el archivo (un documento Word por lo general) antes de ser ejecutado (si estuviera infectado), preferentemente antes de llegar a la bandeja de entrada del correo electrónico del cliente. O, como segunda línea de defensa, detectar el software malicioso después de la ejecución del archivo, o, como último paso, detectar un comportamiento inusual en el registro, bloquear los procesos correspondientes y alertar al usuario ".


      Como hemos dicho, Poweliks no crea un archivo, pero crea una clave de registro de inicio automático codificado que asegura que las actividades maliciosas sobreviva en el sistema después de los reinicios. Y aquí, de nuevo, los autores del malware han encontrado una manera para que esta clave maliciosa pueda mantener un perfil bajo y resistir a los intentos de análisis: la clave del registro no es un carácter ASCII (non-ASCII), que oculta de las herramientas de protección del sistema y evita que se abra.

      "Esta amenaza evita una gran cantidad de herramientas de procesamiento y análisis, además puede generar un montón de problemas en los equipos de respuesta e incidentes durante su estudio. El mecanismo se puede utilizar para iniciar cualquier programa en el sistema infectado y esto hace que sea muy potente", comentó Rascagneres.

      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    2. #2
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

      Muy interesante Woaxxx

      Ahora la pregunta clave que yo me hago:

      ¿Cómo se detecta la infección? Porque se habla de prevención pero no de detección.

      Saludos.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Warrior Avatar de @JoseAsuncion
      Registrado
      sep 2012
      Ubicación
      Lima
      Mensajes
      11.600

      Re: Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

      En realidad me parece que ahora la mayoría de antivirus ya lo detectan, sin embargo, puedes darle un vistazo al siguiente link:

      TROJ_POWELIKS.A | Low Risk | Trend Micro Threat Encyclopedia

      saludos.
      Woaxxx
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    4. #4
      FS-Admin
      Avatar de @MarceloRivero
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      40.914

      Re: Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

      veamos, en realidad Poweliks es un malware troyano pero del tipo bot, ósea encargado de generar una Botnet...

      Y no sé qué analizaron en este caso la gente de G-Data, pero en el análisis de TrendMicro, como también en el original, se describe claramente que SI genera archivos.

      La particularidad de este si, está en que ofusca (oculta) su verdadera carpeta y código en la llave del registro de Windows, mostrándose de la siguiente manera:




      Cundo si se descifra muestra algo así:


      Que son las que hacen de protección frente al intento de limpieza, como también de autoarranque y payload (ejecución) del malware.

      De todas maneras Poweliks si añade el siguientes procesos zombificado en: %System%\dllhost.exe y otro tanto de archivos que se generaran en los temporales:

      • %User Temp%\WindowsServer2003-KB968930-x64-ENG.exe
      • %User Temp%\NetFx20SP1_x86.exe
      • %User Temp%\NetFx20SP1_x64.exe
      • %User Temp%\WindowsServer2003-KB968930-x64-ENG.exe
      • %User Temp%\Windows6.0-KB968930-x86.msu
      • %User Temp%\Windows6.0-KB968930-x64.msu



      No todos los Antivirus lo detectan (con, o sin, archivo), pero de todas maneras los AVs modernos utilizan muchos más mecanismos de detección que solo por archivo en base de firmas, sino que por su heurística y análisis de comportamiento se lo puede detectar y eliminar


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Ex-Colaborador Avatar de Gemsa_03
      Registrado
      feb 2012
      Ubicación
      Málaga-España
      Mensajes
      6.615

      Re: Poweliks el malware que no crea ningún archivo, pero se oculta en el registro.

      Gracias por la aclaración Jefe

      Saludos.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.