Bài liên quan
Các nhà nghiên cứu bảo mật đã phát hiện ra một thủ đoạn mới tinh vi của phần mềm độc hại lây nhiễm vào hệ thống và đánh cắp dữ liệu mà không cần cài đặt bất kỳ tập nào tin vào. Phần mềm độc hại này là Poweliks, mã độc này lây nhiễm vào registry của máy tính và rất khó để phát hiện thông qua các tập tin trên hệ thống, các phần mềm antivirus, antimalware.
Để lây nhiễm một hệ thống, phần mềm độc hại này lây lan qua email thông qua một tài liệu Microsoft Word và sau đó, nó tạo một cơ chế tự khởi động mà bị phát hiện. Để tạo ra một cơ chế tự khởi động, các phần mềm độc hại sẽ tạo ra registry ở dạng non-ASCII, khi đó Windows Regedit không thể đọc hoặc mở các mục thanh ghi non-ASCII này.
Các phần mềm độc hại sau đó tạo và thực thi shellcode, cùng với việc tải các tập tin Windows nhị phân mã độc kết nối với một “địa chỉ IP đã được hardcode trong ổ cứng” để tiếp tục nhận các lệnh từ kẻ điều khiển.
Phần mềm độc hại là một tập tin độc hại được lưu trữ trên một hệ thống máy tính bị nhiễm có thể làm hỏng hệ thống hoặc đánh cắp dữ liệu nhạy cảm, theo dõi hoạt động của người dùng và thực hiện các hoạt động nguy hiểm khác.
Tính năng nổi trội của phần mềm độc hại POWELIKS
Poweliks nguy hiểm và có thể thực hiện một số hoạt động độc hại. Các phần mềm độc hại có thể:
- Tải về bất kỳ tập tin độc hại nào.
- Cài đặt các phần mềm gián điệp trên máy tính bị nhiễm để thu thập thông tin, tài liệu cá nhân của người sử dụng
- Cài đặt Trojan banking để ăn cắp tiền khi giao dịch ngân hàng.
- Cài đặt bất kỳ loại hình khác của phần mềm độc hại có thể đáp ứng nhu cầu của những kẻ tấn công.
- Được sử dụng trong cấu thành mạng botnet.
- Tạo ra doanh thu lớn thông qua quảng cáo cho kẻ tấn công.
Non- ASCII là một công cụ mà Microsoft đã tạo ra và sử dụng để che giấu mã nguồn, nó cho phép sao chép hoặc giả mạo, nhưng tính năng này sau đó đã được một nhà nghiên cứu bảo mật bẻ khóa.
Các nhà nghiên cứu bảo mật và phần mềm độc hại trên diễn đàn KernelMode.info vào tháng trước đã phân tích một mẫu mã độc được đính kèm trong một tài liệu Microsoft Word mà khai thác lỗ hổng CVE-2012-0158, ảnh hưởng đến sản phẩm của Microsoft như Microsoft Office.
Theo SecurityDaily
Post a Comment