Nieuws
image

Register-malware infecteert bijna 200.000 computers

donderdag 11 juni 2015, 17:22 door Redactie, 5 reacties

Malware die zich alleen in het Windows Register verbergt om zo detectie en verwijdering te voorkomen heeft de afgelopen maanden bijna 200.000 computers geïnfecteerd. Het gaat om de Poweliks-malware, die besmette computers voor clickfraude gebruikt en zelfs een zero day-lek in Windows toepaste om een computer volledig te kunnen overnemen. Eenmaal actief zal Poweliks eerst controleren of Windows PowerShell aanwezig is.

Dit is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren. Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd. In het geval PowerShell niet aanwezig is wordt het gedownload en geïnstalleerd. PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren.

Dit scriptbestand bevat de malware en maakt het mogelijk om aanvullende malware te downloaden en installeren. Vervolgens wordt er een sleutel in het Windows Register aangemaakt zodat de malware ook bij een volgende herstart van het systeem wordt geladen. Door het niet gebruiken van een bestand, zoals de meeste malware doet, maar zich volledig in het Windows Register te verbergen zou Poweliks lastiger te detecteren en te verwijderen zijn.

Ransomware

De malware heeft als doel om clickfraude te plegen, waarbij er via een verborgen browservenster allerlei pagina's worden bezocht die advertenties bevatten. De criminelen worden voor elke getoonde advertentie betaald. Een probleem voor slachtoffers van Poweliks is dat de getoonde advertenties zelf ook kwaadaardig kunnen zijn. Een met Poweliks besmette computer kan daardoor ook met allerlei andere dreigingen geïnfecteerd raken, waaronder ransomware.

Volgens anti-virusbedrijf Symantec, dat een rapport (pdf) over de malware publiceerde, zijn er veel gevallen bekend waarbij er via de getoonde advertenties ransomware werd gedownload. Opvallend is dat de malware vooral in de Verenigde Staten actief is. Van de 198.500 besmette computers bleek dat 99,5% zich in de VS bevond. Toch wil dat niet zeggen dat gebruikers in andere landen geen risico lopen. De virusbestrijder stelt dat Poweliks laat zien wat toekomstige dreigingen kunnen doen, waarbij cybercriminelen nog vastbeslotener zijn om geld via hun creaties te verdienen.

Reacties (5)
12-06-2015, 09:02 door Anoniem
"PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren. Dit scriptbestand bevat de malware...
Door het niet gebruiken van een bestand, zoals de meeste malware doet,..."

Ok, helemaal duidelijk hoe dit werkt! We gebruiken een bestand en gebruiken geen bestand. Prima!
12-06-2015, 10:41 door Anoniem
En welke virusscanners detecteren deze nieuwe malware ondertussen ? Hoe kan ik dit checken op Virus Total?
12-06-2015, 13:55 door Anoniem
Door Anoniem: En welke virusscanners detecteren deze nieuwe malware ondertussen ? Hoe kan ik dit checken op Virus Total?

Google?
12-06-2015, 14:02 door Anoniem
Door Anoniem:
Ok, helemaal duidelijk hoe dit werkt! We gebruiken een bestand en gebruiken geen bestand. Prima!

Het staat er niet echt duidelijk, maar zover ik kan opmaken uit dit verhaal, krijg je de eerste keer een registry infectie, die de echte malware download. Beetje tegenstrijdig om daarna te schrijven dat het zonder bestanden werkt.
13-06-2015, 01:29 door sjonniev
Misschien nuttige(r) informatie: https://www.sophos.com/en-us/support/knowledgebase/121370.aspx
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search