新闻链接：http://www.freebuf.com/news/40426.html
   新闻时间：2014-08-11
   新闻正文：日前，国外安全公司GData发现一款比较新型的恶意软件，并定义名称为Poweliks，该恶意软件能够持久的感染目标机器，比较新颖的是该软件不会在目标主机上安装任何文件。Poweliks只在计算机的注册表里面存储它的组件，所以很难通过普通的防病毒软件进行检测。

[poweliks-packer.png]

Poweliks恶意软件传播方式一般是通过邮件的方式，在邮件里面包含一个恶意的word文档，该文档里面包含了一些恶意的代码，一旦执行恶意代码将在注册表里面加一个隐藏的自启动项目。

Poweliks在注册表里面创建的键值使用非ASCII字符作为键名，防止使用Windows注册表编辑器直接读取。如下图1：

[poweliks-regedit-2.png]

我们使用注册表编辑器打开之后如下图：

[poweliks_regedit_1.png]

可以看到注册表编辑器无法读取非ASCII的键名。

GData公司发布的文章提到，Poweliks所有的活动都存储在注册表中，没有任何文件被创建过，所以能够绕过传统的恶意软件文件扫描技术，并且能够执行任意操作。如果要防止这样的攻击，防病毒解决方案必须在Poweliks执行之前检测载体Word文档。

GData举例子说明，Poweliks执行原理如同俄罗斯套娃一样，一层套着一层，最初执行JScript代码，一系列判断之后最终执行包含恶意代码的PowerShell脚本。并且Poweliks会查询机器的硬编码IP地址，攻击者可以执行任意命令，如下载一些攻击的payload等。

Poweliks行为特征：

1、利用Microsoft Word中的漏洞制作Word文件，然后通过电子邮件方式传播
2、创建一个隐藏的自启动注册表项
3、解码该启动项之后发现:代码中一部分会判断系统是否安装了PowerShell，另外一部分是经过Base64编码的PowerShell脚本，该脚本调用并执行攻击者定义的shellcode
4、shellcode会执行Windows二进制文件的payload，该payload会查询机器硬编码的IP地址，以接受攻击者的进一步指令
5、以上所有的执行过程全部存储在注册表中，没有任何文件被创建

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)