ESET Poweliks Cleaner | Gratisanwelah

Monday, 30 January 2017

ESET Poweliks Cleaner

eset-poweliks-removed


Poweliks bukan malwarebiasa karena berada dalam memori sistem dan benar-benar tidak ada file pada disk, sehingga lebih sulit untuk dideteksi. Setelah meracuni komputer, malware menciptakan entri registry dengan perintah yang memverifikasi keberadaan PowerShell atau .NET Framework dan untuk mengeksekusi payload.
Setelah file diluncurkan, penjahat dunia maya mengaktifkan fitur persistensi malware dengan menciptakan kunci autostart yang dikodekan dalam registri. Tampaknya teknik pengkodean yang digunakan oleh malware pada awalnya dibuat oleh Microsoft untuk menjaga kode sumber mereka dari menjadi rangka altered.In untuk menghindari deteksi oleh alat sistem, kunci registri tersembunyi dengan memberikan nama dalam karakter non-ASCII, yang membuat itu tidak tersedia untuk Registry Editor (regedit.exe) pada Windows.

  • Dengan menciptakan kunci auto-start, para penyerang memastikan bahwa reboot dari sistem tidak menghapusnya dari komputer.
  • Dengan decoding kunci, Symantec mengamati dua set kode: satu yang diverifikasi jika mesin yang terkena telah terinstal Windows PowerShell, dan satu lagi, script PowerShell Base64, untuk memanggil dan mengeksekusi shellcode.
  • Menurut para peneliti Symantec, shellcode mengeksekusi payload, yang mencoba untuk terhubung ke perintah remote dan kontrol (C & C) server untuk menerima instruksi. Ada beberapa alamat IP untuk C & C server, semua hard-kode.
  • Keunikan dari malware ini adalah tidak membuat file pada disk, sehingga lebih sulit untuk dideteksi melalui mekanisme perlindungan klasik.



Generated by GRATISANWELAH
前の記事
次便