Новый вредоносный код использует PowerShell и Rundll32

9/04/2014 10:53

Киберпреступники занялись разработкой вредоносного программного обеспечения, использующего гибкие возможности командной строки PowerShell, реализованной Microsoft в Windows. При помощи Windows PowerShell преступники надеются пройти мимо установленного антивирусного программного обеспечения. Напомним, что Windows PowerShell представляет собой командную оболочку и скриптовую среду одновременно, которые созданы для автоматизации системных задач и приложений с административными заданиями. Изначально PowerShell появилась начиная с Windows 7, однако позже Microsoft выпустила PowerShell и для более ранних Windows, начиная с XP. Сейчас антивирусные лабораториии Symantec и TrendMicro независимо друг от друга сообщили об обнаружении вредоносного кода, имеющего несколько слоев обфускации и способного встраивать вредносный код в системный файл rundll32.exe. Код может прятаться в структуре rundll32 и работать одновременно как бэкдор и как троянец. При запуске вредоносный скрипт компилирует и исполняет вредоносный код, который встраивается на лету. Скомпилированный код встраивается в rundll32 как системный процесс, что значительно усложняет процесс детектирования. Хакерский код в системном файле также подключается к удаленному серверу и ожидает инструкций от него, которые в будущем исполняются в скрытом режиме. В Trend Micro говорят, что код также использует модуль Power Worm, работающий с PowerShell. Заражение вредоносом происходит через специально сконструированные Word- и Excel-файлы, которые исполняются во время открытия. После открытия первичный код посредством анонимного прокси Polipo подгружаются дополнительные элементы.
Источник