11 juni 2015 10:58

Nieuwe ‘bestandsloze’ trojan is nagenoeg onzichtbaar

De malware nestelt zich in het Windows-register en misbruikt zero-daybedreigingen om systemen te infecteren.

Een recent aan het licht gekomen trojan is geen detecteerbaar bestand op je computer. Dit om onder de radar te blijven. De Poweliks Trojan bevindt zich in een constante staat van evolutie om ontdekking door antivirussystemen op besmette pc’s te voorkomen.

De kwaadaardige software, voor het eerst gespot in 2014, gebruikt interessante technieken om systemen te infecteren en vervolgens onopgemerkt te blijven, zoals door bestandsloos te blijven.

Onderzoekers van Symantec geven in een blogpost meer uitleg over de malware die winst genereert voor hackers met kliks op advertenties. De bedreiging is alleen terug te vinden in het register van Windows, maar ogenschijnlijk zonder bestanden of andere mechanismes om ervoor te zorgen dat de malware ook op de pc actief blijft na een herstart.

Poweliks wordt gezien als een ‘bestandsloze’ bedreiging die meerdere technieken gebruikt om alleen in het Windows-register te bestaan. Volgens veiligheidsonderzoekers van Symantec valt de malware op doordat het een mechanisme inzet dat meelift op een legitiem rundll32.exe-bestand. Hierdoor wordt een Javascriptcode uitgevoerd dat in de registersleutel zelf zit ingebakken.

Na succesvolle uitvoering wordt een zogeheten Watchdog process opgestart. Dit is om ervoor te zorgen dat Poweliks blijft draaien. Mocht dat niet het geval zijn en als de betreffende sleutels uit het register verwijderd zijn, dan zorgt dit proces dat de registersleutels opnieuw toegevoegd worden. Watchdog verandert de toegangsrechten om toegang door derden te voorkomen. Verder zet het onprintbare karakters in om de sleutels te verbergen.

Verder stelt Symantec dat de Trojan misbruik kan maken van de Microsoft Windows Remote Privilege Escalation Vulnerability (CVE-2015-0016) om controle te krijgen over de besmette computer. Dit gat is gedicht op systemen die volledig up-to-date zijn, maar wie de laatste patches nog niet heeft gedownload is nog kwetsbaar.

Ondanks de geavanceerde technieken die Poweliks gebruikt om onzichtbaar te blijven, is de malware puntje bij paaltje niet meer dan een stukje software dat geld genereert via advertentiefraude. De trojan vraagt advertenties op via bepaalde sleutelwoorden, manipuleert zoekresultaten zodat het op een legitiem verzoek lijkt en surft naar de url van het advertentienetwerk. Hierdoor heeft de plaatser van de advertentie recht op een bepaald bedrag op basis van hoe vaak erop geklikt is.

Om de kans op ontdekking zo klein mogelijk te houden, zien de slachtoffers deze advertenties niet voorbijkomen. Volgens het veiligheidsteam van Symantec kan de malware tot 3.000 advertenties per dag oproepen. Het risico is dat het systeem van het slachtoffer steeds verder dichtslibt, er is steeds minder geheugen beschikbaar en het opent deuren voor andere malware om binnen te dringen.