Poweliks, il malware senza file

Un nuovo agente patogeno scoperto dai ricercatori usa una tecnica particolarmente subdola, abusando del Registro di Windows per non destare sospetti e sopravvivere al riavvio della macchina infetta

Roma – Poweliks è un malware per Windows in grado di fare sfoggio di capacità di resilienza non comuni, un esemplare di codice malevolo che si nasconde all’interno del Registro di Windows per non destare allarmi e passare inosservato ai controlli – anche in tempo reale – dei software di sicurezza e degli antivirus.

Il malware arriva sul PC dell’utente tramite posta elettronica, nascosto all’interno di un file Word malformato per sfruttare una nota vulnerabilità nel word processor di Microsoft; all’apertura del documento, Poweliks controlla la presenza di PowerShell (potente ambiente di scripting per Windows) ed eventualmente scarica e installa il componente.

Tutte le azioni del malware vengono archiviate all’interno del Registro, e il codice malevolo vero e proprio viene salvato in una chiave codificata non accessibile dall’utente: il codice della chiave è binario e viene eseguito a ogni riavvio.

Poweliks sfrutta per scopi malevoli una tecnica di codifica adoperata da Microsoft per proteggere il software proprietario nel Registro, mentre per quanto riguarda le finalità del malware non si può che speculare, visto che il payload è progettato per scaricare ed eseguire altro codice malevolo da Internet.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • prova123 scrive:
    Buongiorno hackeroni dei miei stivali !
    Tenendo conto che nel campo automotive le comunicazioni CAN non sono criptate ed i diversi standard ISO implementati sono appunto STANDARD e disponibili non è che bisogna essere arche di scienza per "craccare" un auto. Ma questo è vero da almeno 20 anni: non è che questi del Black Hat saranno stati rapiti dagli ufo e nessuno glielo ha ancora detto! :DProbabilmente sull'ufo gli avranno fatto leggere questo:[img]http://www.pycomall.com/images/P1/Car_Hacks_and_Mods_for_Dummies_Adobe_Reader_PDF_eBook.jpg[/img]
    • t a n y s t r o p h e u s scrive:
      Re: Buongiorno hackeroni dei miei stivali !
      - Scritto da: prova123
      Tenendo conto che nel campo automotive le
      comunicazioni CAN non sono criptate ed i diversi
      standard ISO implementati sono appunto STANDARD e
      disponibili non è che bisogna essere arche di
      scienza per "craccare" un auto. Ma questo è vero
      da almeno 20 anni: non è che questi del Black Hat
      saranno stati rapiti dagli ufo e nessuno glielo
      ha ancora detto!Quando si parla di hacking da bluetooth la questione pero` si fa pericolosa: un conto e dover attaccare cavi e cavetti alla centralina per accedere al CAN, un'altra e` la possibilita` di manomettere una vettura senza toccarla "fisicamente" (via wireless).Fino a pochi anni fa questo non era possibile, perche` certi sistemi (vedi bluetooth o infotainment in genere) non erano cosi` integrati nel "sistema automobile".Inoltre, il CAN effettivamente e` uno standard pubblico. Ben altro pero` e` l'organizzazione dei dati che vi sono trasmessi, che cambiano da produttore a produttore e spesso tra modello e modello di auto. Pertanto in molti casi non basta conoscere lo standard, ma anche cosa viaggia sul bus (anche se per un "semplice" - si fa per dire - denial-of-service probabilmente non serve).Ultima cosa: il CAN lo si vuole sostituire con il FlexRay per motivi economici (dove gia` non lo si e` fatto), che e` piu` veloce e permetterebbe la comunicazione di dati utili al controllo della vettura ma anche il supporto alle applicazioni multimediali. A quel punto il bus sarebbe condiviso tra infotainment e gestione auto. Questo e` un enorme pericolo, presentando potenziali enormi rischi per la sicurezza (vedi discorso sul bluetooth di cui sopra): attraverso l'apparato di infotainment si potrebbe riuscire a manomettere la funzionalita` dell'auto.
      • prova123 scrive:
        Re: Buongiorno hackeroni dei miei stivali !
        Circa 8 anni fa ho scritto un bootloader per centralina automotive usb/bluetooth, stai tranquillo che in quel bootloader non ci entri per caso, e se per caso hai il cul* pauroso di beccare il messaggio del protocollo (ovviamente closed) di salto al bootloader se non arriva il secondo messaggio corretto scatta il timeout ed il sistema ritorna al suo normale funzionamento, cosa che accade anche se per un qualsiasi motivo lo scarico del nuovo firmware non si conclude positivamente. Quindi se c'è qualcuno che ti passa i sorgenti del firmware è un discorso altrimenti non c'è nulla da fare ... la magia non esiste nel campo del hacking/cracking, serve solo a coprire le fonti delle informazioni.Vabbè, adesso molti si sentiranno come coloro ai quali è stato spiegato un trucco di magia che li aveva lasciati a bocca aperta, a volte la realtà è molto più banale di quanto non appaia.
  • Nauseato scrive:
    Radiocontrollo aereo aperto a tutti?
    Ho i miei seri dubbi che le cose stiano proprio così.Ma se qualunque telecomando per antifurti, anche i più banali, ha la sua adeguata tecnologia per impedire interferenze ostili o casuali che siano, figuriamoci se per il controllo di aerei di linea con centinaia di passeggeri lasciamo "tutto aperto". Bahh e doppio Bahh!Badate, non sto dicendo che il radio controllo in questione non sia hackerabile, tutto a questo mondo è prima o poi hackerabile, con buona pace dei produttori di cazz...volate come i DRM. Sto dicendo che è semplicemente assurdo che il radicontrollo aereo sia "aperto a tutti", sanza alcuna tecnologia di sicurezza in merito; almeno questo è affermato nell'articolo, e sulla falsità di questa affermazione mi giocherei testicoli, balle, XXXXXXXX, attributi e gioielli di famiglia!
    • t a n y s t r o p h e u s scrive:
      Re: Radiocontrollo aereo aperto a tutti?
      - Scritto da: Nauseato
      Ho i miei seri dubbi che le cose stiano proprio
      così.Questione di interpretazione. Io per "aperto a tutti" ho inteso il canale wireless, che rispetto ai vari bus di bordo, e` effettivamente accessibile a tutti quanti dispongano di una radio adatta (il canale, non i dati che ci viaggiano).
  • tucumcari scrive:
    Il peggio deve ancora venire
    Sara' riuscire a prendere il comando della testa dei possesori di iPhone e di iMac. Per fargli fare che cosa non lo so, ma la prossima mossa e' quella.
    • ... scrive:
      Re: Il peggio deve ancora venire
      - Scritto da: tucumcari
      Sara' riuscire a prendere il comando della testa
      dei possesori di iPhone e di iMac[img]http://4.bp.blogspot.com/-AIV4KZS22HI/UZWBSV3cQeI/AAAAAAAAAsw/NUp4R94eVdQ/s1600/stupid+face.JPG[/img]
      • ... scrive:
        Re: Il peggio deve ancora venire
        [img]http://www.nerdsrevenge.it/wp-content/uploads/2014/01/Le-10-morti-stupide-del-cinema-2-460x345.jpg[/img]
    • maxsix scrive:
      Re: Il peggio deve ancora venire
      - Scritto da: tucumcari
      Sara' riuscire a prendere il comando della testa
      dei possesori di iPhone e di iMac. Per fargli
      fare che cosa non lo so, ma la prossima mossa e'
      quella.Gentile cliente.Le comunichiamo che, visti i recenti fatti di cronaca di cui lei è sicuramente a conoscenza, di avervi sottratto senza preavviso tutto quello che fino ad oggi ci è interessato della sua persona, per esempio:dove va, cosa fa, chi chiama al telefono, chi la chiama al telefono, gli SMS che scrive e riceve, le mail scritte e ricevute, l'allegato, ecc..., ecc...Inoltre volevamo avvisarla che tutte le email, allegati compresi, sono salvati costantemente sui nostri server di analisi quindi non si prenda la briga di cancellarli dal suo account, perderebbe solo del inutile tempo.Ringraziandola ed esortandola ad usare i nostri eccezionali servizi gratuiti e sopratutto il nostro OS per la piattaforma mobile le porgiamo distinti saluti.L'amministrazione Google Inc.PS: le raccomandiamo di rootare la periferica il prima possibile e installare la versione comunemente chiamata "Android liscio" in modo che noi possiamo avere un controllo migliore e più esteso della sua esistenza. Nel caso avesse delle difficoltà o non sapesse come fare la esortiamo a prendere contattato con i cantinari di Punto-Informatico.it, sapranno sicuramente aiutarla.
      • bubba scrive:
        Re: Il peggio deve ancora venire
        - Scritto da: maxsix
        - Scritto da: tucumcari

        Sara' riuscire a prendere il comando della
        testa

        dei possesori di iPhone e di iMac. Per fargli

        fare che cosa non lo so, ma la prossima
        mossa
        e'

        quella.

        Gentile cliente.
        Le comunichiamo che, visti i recenti fatti diti dedichi allo spam perche' com.apple.pcapd non ti interessa gia' piu'? :)
      • Funz scrive:
        Re: Il peggio deve ancora venire
        - Scritto da: maxsix
        - Scritto da: tucumcari

        Sara' riuscire a prendere il comando della
        testa

        dei possesori di iPhone e di iMac. Per fargli

        fare che cosa non lo so, ma la prossima
        mossa
        e'

        quella.

        Gentile cliente.
        Le comunichiamo che, visti i recenti fatti di
        cronaca di cui lei è sicuramente a conoscenza, di
        avervi sottratto senza preavviso tutto quello che
        fino ad oggi ci è interessato della sua persona,
        per
        esempio:
        dove va, cosa fa, chi chiama al telefono, chi la
        chiama al telefono, gli SMS che scrive e riceve,
        le mail scritte e ricevute, l'allegato, ecc...,
        ecc...

        Inoltre volevamo avvisarla che tutte le email,
        allegati compresi, sono salvati costantemente sui
        nostri server di analisi quindi non si prenda la
        briga di cancellarli dal suo account, perderebbe
        solo del inutile
        tempo.

        Ringraziandola ed esortandola ad usare i nostri
        eccezionali servizi gratuiti e sopratutto il
        nostro OS per la piattaforma mobile le porgiamo
        distinti
        saluti.


        L'amministrazione
        Google Inc.
        DROPOUT JEEP, cogli*ne
    • tucumcari scrive:
      Re: Il peggio deve ancora venire
      Vedi Legu il problema non è il "comando" ma quello che hai in testa che si rivela un problema grave.In un altro post volevi "andare al potere" qui vuoi "il comando".Capisco che Dove sei (o meglio dove ti tengono ricoverato) potrebbe essere un fatto non inusuale ma nel prossimo post mi aspetterei la posa napoleonica con tanto di manina sullo stomaco e cappellone.
      • krane scrive:
        Re: Il peggio deve ancora venire
        - Scritto da: tucumcari
        Vedi Legu il problema non è il "comando" ma
        quello che hai in testa che si rivela un problema
        grave.
        In un altro post volevi "andare al potere" qui
        vuoi "il comando".E meno lo si caga e piu' sclera (rotfl)(rotfl)
    • tucumcari scrive:
      Re: Il peggio deve ancora venire
      Prendere il comando? Legu in un altro post dici che vuoi andare al potere qui vuoi prendere il comando.Al prossimo vedremo il tuo nuovo avatar con lo scolapasta in testa?
Chiudi i commenti