Poweliks è un malware per Windows in grado di fare sfoggio di capacità di resilienza non comuni, un esemplare di codice malevolo che si nasconde all’interno del Registro di Windows per non destare allarmi e passare inosservato ai controlli – anche in tempo reale – dei software di sicurezza e degli antivirus.
Il malware arriva sul PC dell’utente tramite posta elettronica, nascosto all’interno di un file Word malformato per sfruttare una nota vulnerabilità nel word processor di Microsoft; all’apertura del documento, Poweliks controlla la presenza di PowerShell (potente ambiente di scripting per Windows) ed eventualmente scarica e installa il componente.
Tutte le azioni del malware vengono archiviate all’interno del Registro, e il codice malevolo vero e proprio viene salvato in una chiave codificata non accessibile dall’utente: il codice della chiave è binario e viene eseguito a ogni riavvio.
Poweliks sfrutta per scopi malevoli una tecnica di codifica adoperata da Microsoft per proteggere il software proprietario nel Registro, mentre per quanto riguarda le finalità del malware non si può che speculare, visto che il payload è progettato per scaricare ed eseguire altro codice malevolo da Internet.
Alfonso Maruccia