Nový počítačový virus chytře přežívá v registru Windows

Výzkumníci z G Data prostudovali nový virus, který na počítači přežívá v poměrně unikátní formě. Namísto klasického spustitelného programu, nebo skriptu, který by byl schovaný kdesi v systému, je celý virus uložený jako běžný textový záznam v systémovém registru Windows a to na patřičné cestě, aby se spouštěl při každém startu počítače.

Jméno klíče se ke všemu skládá z exotických znaků, se kterými si podle výzkumníků neporadí třeba běžný prohlížeč registru Regedit a při pokusu o otevření zobrazí chybu. Tímto způsobem se chce virus schovat před administrátorem, který by náhodou kontroloval, co se vše spouští po startu Windows.

728058573
Hodnota klíče je kódovaná a obsahuje samotnou logiku viru (Zdroj: G Data)

Hodnota klíče je kódovaná, systém ji ale rozumí, po spuštění ji přeloží a výsledkem bude skript pro PowerShell, uvnitř kterého už bude vnořený finální binární kód viru, který kontaktuje pevně nastavené IP adresy a bude čekat na povely. Virus se tedy chová jako vrstevnatá matrjoška, která se pokusí počítač zapojit do botnetu a to aniž by k tomu potřeboval nějaký vlastní soubor.

Ten je potřeba jen na počátku ve formě zákeřného dokumentu Wordu, který po otevření vytvoří samotný malware v systémovém registru.

Diskuze (56) Další článek: Krym se propojuje. Novým kabelem už teče internet přes Moskvu

Témata článku: , , , , , , , , , , , , , , , , , , ,