POWELIKS, que así es como se llama, está
programado para infectar los sistemas operativos Windows y robar la información
almacenada en dicho sistema y sin instalador.
Este virus es persistente en el sistema sin necesidad de
instalación, es decir, solo se replica en el registro de Windows y no necesita
crear ningún tipo de archivo adicional. Con esto lo que se quiere evitar es que
el virus sea detectable con mucha facilidad gracias a estos archivos.
El
malware se extiende a otros sistemas infectando archivos de Microsoft Word que
se extienden utilizando las cuentas de correo que se utilizan en los equipos
infectados.
¿Cómo
evita ser detectado por las herramientas de seguridad?
- Todo se encuentra en el registro en entradas ocultas. En un primer momento intenta conectarse a una dirección IP para así recibir nuevos comandos que son ejecutados. El virus es residente y cada vez que el equipo se inicie este se iniciará con el sistema operativo gracias a las claves creadas en el registro que se encuentran ocultas. La mayoría de las entradas del registro no son caracteres ASCII. De esta forma el sistema no los puede interpretar y las herramientas de seguridad no son capaces de detectarlas.
- Hasta el momento solo hemos hablado de las capacidades que posee el malware de ocultarse en el sistema. Cuando este recibe más comando a ejecutar, el número de funciones aumenta de forma considerable, siendo capaz de instalar programas espía o troyanos bancarios. Además, permite unir al equipo a una botnet para realizar ataques DDoS distribuidos. Por último, se ha visto que también es capaz de generar anuncios falsos en el sistema para llevar al usuario al engaño y así conseguir robar cuentas de servicios o incluso dinero.
- Vista la dificultad para detectar el virus una vez que este se encuentra en el sistema, los esfuerzos de las compañías de seguridad se centran en conseguir detectar el archivo de Microsoft Word que está infectado antes de que sea abierto por el usuario.
