Poweliks: il Malware Persistente Senza File

Quando si parla di malware spesso si fa riferimento a uno o più file che infettano il computer, file che vengono analizzati dai ricercatori e dai quali vengono estratte le “firme” che alimentano i database degli antivirus. Ma se un malware non ha un file, la situazione si complica.

I laboratori GData hanno pubblicato un report su un malware estremamente furtivo, in grado di nascondersi e restare persistente all’interno di un sistema, ma senza la necessità di “incarnarsi” in un file.

Poweliks (questo è il nome del malware in questione), è in grado di nascodere il proprio “corpo” all’interno del registro di sistema, senza intaccare direttamente il file system. Inoltre, per aumentare il proprio grado di furtività, nasconde il proprio payload attraverso diversi livelli di codifica.

A rendere ulteriormente complesso rintracciare questo malware, il nome della chiave di registro utilizzata per effettuare l’autostart, è formato da un carattere non ASCII, cosa che rendere l’accesso al valore assai complesso, almeno tramite i normali strumenti di amministrazione.

Riassumendo le fasi dell’infezione:

  • Poweliks entra nel sistema sfruttando una vulnerabilità in Microsoft Word (ovvero CVE-2012-0158)
  • Crea una chiave di registro, il cui valore è il malware stesso
  • Il malware diventa persistente insediandosi nell’autostart
  • Alla fine il malware viene eseguito in memoria

Ma non basta: la chiave di registro non contiene il codice in chiaro ma bensì:

  • Un file JScript codificato, il quale a sua volta contiene
  • Uno script PowerShell al cui interno troviamo
  • Una shellcode codificata in Base64

Questa shellcode è il malware vero e proprio, in di stabilire una comunicazione con la centrale di Comando&Controllo.