Poweliks apareció en 2014 y llamó la atención por ser la primera amenaza basada totalmente en registro de Windows.
Poweliks es
fileless,
no se
almacena como archivo en el sistema infectado y tiene un
mecanismo de persistencia que le permite permanecer en el equipo
comprometido, incluso después de reiniciar el sistema.
Este troyano además utiliza otros trucos del
registro, como un método
especial de nombres, para que sea difícil para los usuarios encontrar el
CLSID relacionado y aprovecha una
vulnerabilidad de escalamiento de privilegios (CVE-2015-0016) 0-Day (MS15-004, parcheado en enero)
para tomar el control de la computadora comprometida. Además, esta
amenaza agrega al sistema infectado una botnet de fraude de clicks y lo
obliga a descargar anuncios sin el conocimiento de la víctima.
Poweliks utiliza el archivo legítimo de
Windows rundll32.exe
(azul) para ejecutar el código JavaScript (rojo) que a incrustado en la
subclave del registro El código JavaScript tiene instrucciones para leer
los datos adicionales del
registro, que actúa como la carga útil
(verde), y luego ejecutarlo.
Algunos de estos datos están codificados y luego de ejecutado, se
instala un proceso de vigilancia que se utiliza para mantener la
persistencia en el sistema infectado.
Symantec ha analizado en profundidad en Poweliks [PDF] para ver cómo ha evolucionado esta amenaza y cómo trata de evadir la detección y esconderse en el registro.