torsdag 21 januari 2016

Poweliks - malware som bor i ditt systemregistrer

Många av den senaste tidens attacker kringgår lokala antivirusprogram och är i princip omöjliga att hitta med traditionella verktyg. Tekniken som används för att gömma den skadliga koden kallas för "poweliks" och innebär att inga filer skrivs till hårddisken, istället lagras koderna permanent i systemregistret.

Traditionella endpointskydd är till stor del beroende av att kunna identifiera malware-filer på datorns lagringsenhet. För att undgå att detekteras används nu s.k. poweliks som aldrig skriver någon fil till disken. Istället skapas en registernyckel, många gånger är namnet på registernyckeln ett nollvärde som innebär att den inte kan hanteras av Windows och inte heller går att ta bort manuellt.



I poweliks-registernyckeln finns en lång datasträng innehållande programkod, som om den hade sparats till en fil skulle klassas som en DLL-fil. Den skadliga koden laddas in i minnet vid varje start och dess huvudsakliga uppgift är att hämta hem (o)lämplig exekverbar kod som är anpassad för det infekterade systemet.

De nya hämtningar som initieras av koden i registret skrivs till disk och kan i bästa fall detekteras med traditionella metoder, men källan till infektionen fortsätter att existera och laddar hem nya varianter av skadlig kod. Förr eller senare laddas en så pass ny malware ned att det traditionella skyddet inte detekterar den. Poweliks har bl.a. använts i många av den senaste tidens Crypto Ransome-attacker.

WeCloud's molnbaserade antivirus monitorerar alla processer och events i ett system. Resultaten analyserar direkt i molnet och jämförs  Läs mer om SecureAnywhere och hur molnbaserad antivirus kan hjälpa dig att minimera riskerna.

www.wecloud.se
info@wecloud.se