Il Virus Senza File

Il Virus Senza File

Alcuni ricercatori hanno individuato un nuovo malware chiamato Poweliks , che viene eseguito direttamente all’interno del registro di Windows senza creare file nel disco rigido.

Questo tipo di minaccia non è una novità , già in passato infatti , alcuni malware operavano nella stessa maniera ma non erano persistenti.Solitamente , quando il codice malevolo viene eseguito all’interno del registro, basta riavviare il PC per eliminarlo definitivamente, poichè al riavvio, la memoria (RAM) di sistema viene cancellata.

Questo èerò non accade con Poweliks, poichè viene creata una voce nel registro di sistema che avvia una rundll32.exe legittima a cui segue del codice Javascript codificato.

Quest’ulitmo , controlla la presenza di PowerShell e se non lo trova , installa uno script che sfrutta una falla di Windows , cosi da non richiedere la conferma da parte dell’utente.

Inoltre , questo script esegue un codice shell che inietta una DLL direttamente nella memoria di sistema , senza creare alcun file dal disco rigido.

la DLL si collega ad alcuni ad alcuni IP straniera che possono entrare nel sistema installando altro software malevolo.

Poweliks si propaga attraverso documenti Word ricevuti come allegati email e , una volta installato è quasi impossibile rilevarlo con gli attuali antivirus.

 

 

Redazione

Rispondi