In anumite cazuri acestia isi creeaza ceva fisiere pe HDD, dar sunt sterse de indata ce sunt incarcate in RAM asa ca o detectie a antivirus-ului este destul de mica mai ales ca ultimele variante de la Poweliks au tot codul random si obfuscat (base 64/ascii/script powershell) stocat in registri.
Protectia acestora nu se bazeaza pe permisiunile NTFS ci mai degraba pe valorile sale NULL scrise in registri asa ca o stergere manuala a key-lor de registri a acestora se va sfarsi printr-o eroare.
Pentru cei interesati de aceste noi tehnici aveti link-urile de mai jos:
http://www.symantec.com/
https://thisissecurity.net/2014/08/20/poweliks-command-line-confusion/
http://
https://thisissecurity.net/2014/08/20/poweliks-command-line-confusion/
http://www.dostips.com/forum/viewtopic.php?t=5311
http://
PS: acest malware se bazeaza pe valori NULL scrise in registri asa ca pentru o devirusare manuala va trebui sa folositi acest soft de la Sysinternals:
https://
Varianta pe care am intalnit-o eu rezida in procesul regsvr32.exe si dllhost.exe ... asa ca, daca nu instalati nimic in momentul respectiv ar trebui sa investigati problema cu autoruns si process explorer pe aceste procese.
Fisiere create:
C:\Users\user\appdata\loca
C:\Users\user\appdata\Roam
C:\Users\ user \AppData\Roaming\Microsoft
Registry:
HKLM sau HKCU\Software\Classes\rand
HKLM sau HKCU\Software\random name\ - fara subkeys - Prin acest fel poate fi foarte usor de vizualizat pentru ca nu are sageata de la alte subkeys si valoriile cheilor din interior sunt foarte lungi si obfuscate.
