Poweliks هیچ فایلی روی هارد دیسك ایجاد نمیكند.
محققان امنیتی هشدار دادند كه یك برنامه بدافزاری جدید به نام Poweliks سعی میكند با اجرای كامل از روی رجیستری سیستم و بدون ایجاد فایلی بر روی سیستم، از شناسایی و تحلیل خود توسط متخصصان امنیتی جلوگیری نماید.
ایده بدافزار «بدون فایل» كه صرفاً در حافظه سیستم وجود دارد جدید نیست، ولی چنین تهدیداتی نادر هستند، چرا كه نوعاً در راهاندازیهای مجدد سیستم و پس از پاك شدن حافظه، نمیتوانند به حیات خود ادامه دهند. اما در مورد Poweliks این مسأله صادق نیست. به گفته محققان بدافزارهای شركت امنیتی G Data Software، این بدافزار از روش جدیدی برای بقای خود استفاده میكند و در عین حال هیچ فایلی نیز ایجاد نمیكند.
هنگامی كه Poweliks سیستمی را آلوده میكند، یك مدخل در رجیستری ایجاد مینماید كه فایل ویندوزی معتبر rundll32.exe و سپس كد جاوا اسكریپت رمز شدهای را اجرا میكند. این كار پردازهای را راهاندازی میكند.
كد جاوا اسكریپت مزبور بررسی میكند كه آیا Windows PowerShell كه یك پوسته خط فرمان و محیط اسكریپتینگ است بر روی سیستم وجود دارد یا خیر. درصورتیكه این پوسته وجود نداشته باشد، آن را دانلود كرده و نصب مینماید و سپس كدهای دیگری را كه در حقیقت یك اسكریپت PoweShell است رمزگشایی میكند.
این اسكریپت PowerShell با استفاده از ترفندی برای دور زدن محافظ پیشفرض ویندوز كه از اجرای اسكریپتهای ناشناس PowerShell بدون تأیید كاربر جلوگیری میكند، اجرا میگردد. سپس این اسكریپت Shellcode را كه یك DLL را مستقیماً به حافظه سیستم تزریق میكند، رمزگشایی كرده و اجرا مینماید.
هنگامی كه این DLL تقلبی در حال اجرا در حافظه است، به دو آدرس آیپی در قزاقستان متصل شده و دستورات را دریافت میكند. این بدافزار میتواند بسته به تمایل مهاجم برای دانلود و نصب سایر تهدیدات به كار رود.
در طول این پروسه، از زمان اجرای كد جاوا اسكریپت تا تزریق نهایی DLL، این بدافزار هیچ فایل خرابكاری بر روی هارد دیسك ایجاد نمیكند كه این مسأله، شناسایی آن را برای آنتیویروسها مشكل میسازد.
علاوه بر اینها، نام كلید رجیستری ایجاد شده توسط Poweliks یك كاراكتر غیر اسكی است. این ترفندی است كه از نمایش این مدخل رجیستری توسط regedit (ابزار ویرایش رجیستری ویندوز) و احتمالاً سایر برنامهها جلوگیری میكند و به این ترتیب شناسایی دستی آلودگی را برای كاربر و نیز تحلیلگران بدافزار مشكل میسازد.
برخی ویرایشهای Poweliks ازطریق اسناد خرابكار Word كه به هرزنامهها پیوست شده بودند و وانمود میكردند كه از پست كانادا یا پست ایالات متحده ارسال شدهاند، منتشر گشتهاند. این اسناد خرابكار از یك آسیبپذیری اجرای كد از راه دور در آفیس 2003، 207 و 2010 كه در آوریل 2012 اصلاح شده بود استفاده میكردند. البته با توجه به سایر گزارشها، این بدافزار همچنین از طریق حملات drive-by download كه از نقایص وب استفاده میكنند نیز منتشر شده است.
آنتیویروسها برای مسدود كردن بدافزاری مانند Powliks باید یا فایل Word اولیه را پیش از اجرا و ترجیحاً پیش از رسیدن به صندوق پستی كاربر توقیف نمایند یا اینكه در خط بعدی دفاعی، پس از اجرای فایل قادر به شناسایی كد سوء استفاده كننده از آسیبپذیری نرمافزار باشند، و یا در نهایت، رفتار غیرمعمول را تشخیص داده و پردازه مربوطه را مسدود كرده و به كاربر هشدار دهند.