Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
13 de Junio, 2015    General

Poweliks: malware que se almacena en el registro de Windows

Poweliks apareció en 2014 y llamó la atención por ser la primera amenaza basada totalmente en registro de Windows. Poweliks es fileless, no se almacena como archivo en el sistema infectado y tiene un mecanismo de persistencia que le permite permanecer en el equipo comprometido, incluso después de reiniciar el sistema.

Este troyano además utiliza otros trucos del registro, como un método especial de nombres, para que sea difícil para los usuarios encontrar el CLSID relacionado y aprovecha una vulnerabilidad de escalamiento de privilegios (CVE-2015-0016) 0-Day (MS15-004, parcheado en enero) para tomar el control de la computadora comprometida. Además, esta amenaza agrega al sistema infectado una botnet de fraude de clicks y lo obliga a descargar anuncios sin el conocimiento de la víctima.
Poweliks utiliza el archivo legítimo de Windows rundll32.exe (azul) para ejecutar el código JavaScript (rojo) que a incrustado en la subclave del registro El código JavaScript tiene instrucciones para leer los datos adicionales del registro, que actúa como la carga útil (verde), y luego ejecutarlo.
Algunos de estos datos están codificados y luego de ejecutado, se instala un proceso de vigilancia que se utiliza para mantener la persistencia en el sistema infectado.

Symantec ha analizado en profundidad en Poweliks [PDF] para ver cómo ha evolucionado esta amenaza y cómo trata de evadir la detección y esconderse en el registro.

Cristian de la Redacción de Segu-Info
Palabras claves ,
publicado por alonsoclaudio a las 20:56 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Agosto 2017 Ver mes siguiente
DOLUMAMIJUVISA
12345
6789101112
13141516171819
20212223242526
2728293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
15 Comentarios: lucia, wilson, spider hackers, [...] ...
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
» Cómo liberar software – guía para principiantes :)
1 Comentario: seo plugin
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad