پاولیکس؛ بدافزاری که در رجیستری شما پنهان می‌شود

بازی موش و گربه بدافزارها

پاولیکس، بدافزار جدیدی است که از رجیستری ویندوز شروع به کار می‌کند و به همین دلیل می‌تواند براحتی سیستم شناسایی شده و آنالیز شما را دور بزند. این بدافزار هیچ فایلی روی دیسک از خود به جای نمی‌گذارد و در نتیجه رد‌پایی هم از آن در دسترس‌ شما نخواهد بود.

کد خبر: ۷۴۲۲۱۲

البته مفهوم بدافزارهای بدونِ فایل که فقط در حافظه‌ سیستم حضور دارند، چندان هم تازه نیست، اما به این دلیل که چنین تهدیداتی وقتی حافظه پاک شده باشد، معمولا در راه‌اندازی مجدد سیستم جان سالم به در نمی‌برند و خطرآفرینی‌شان نادر است، کمتر به آنها توجه شده است. چنین موضوعی درمورد پاولیکس صدق نمی‌کند، به همین دلیل باید حواس‌تان به آن باشد. این بدافزار با این‌که از نوعِ بدون فایل‌هاست، قدرت تخریب عجیبی دارد که نمی‌توان از آن سرسری گذشت.

نحوه‌ عملکرد پاولیکس

زمانی‌که این بدافزار سیستم را آلوده می‌کند، علاوه بر ایجاد و فعال کردن یک فایل ویندوز چند کد رمزگذاری شده‌ جاوا را نیز وارد سیستم شما می‌کند. این جاوا اسکریپت، رشته‌ای از اقداماتی را در سیستم راه می‌اندازد که در آن، حمله‌ مورد نظر قدم به قدم پیش می‌رود و در این پیشروی، به شکلی کاملا تو در تو در تمام سیستم‌تان نفوذ می‌کند. کدِ جاوا، سیستم را برای داشتن یا نداشتن ویندوز پاورشل بررسی می‌کند، زیرا به کمک آن، سیستم می‌تواند دستورات را اجرا و اسکریپت‌های اشکال‌زدایی را در یک رابط کاربر گرافیکی، تست و ایرادیابی کند. اگر سیستم شامل پاورشل نباشد، جاوا اسکریپت آن را دانلود و نصب کرده و پس از آن، رمز کدهای اضافی را باز می‌کند.

این پاورشل با ترفندی کوچک به کار می‌افتد که می‌تواند طرح محافظت پیش‌فرض در ویندوز را که وظیفه‌ جلوگیری از راه افتادن اسکریپت‌های پاورشل ناآشنا و بدون تائید کاربر را دارد، دور بزند و به این شکل ضربه را از جایی که انتظار نمی‌رود، وارد کند. پس از آن، اسکریپت شل‌کد را رمزگشایی و اجرا می‌کند که همین موضوع باعث می‌شود دی.ال.ال، به صورت مستقیم وارد حافظه‌ سیستم شما بشود. چنین بدافزاری می‌تواند بر مبنای هدف و قصد مهاجمان فرستنده‌اش برای دانلود و نصب دیگر تهدیدات روی سیستم شما نیز مورد استفاده قرار بگیرد و مشخص نیست این ویرانی تا کجا پیش خواهد رفت.

غیر قابل تعقیب

جالب اینجاست در فرآیندی که بدافزار برای آسیب زدن به سیستم شما طی می‌کند، هیچ‌گونه فایل مشکوکی روی درایوتان ایجاد نمی‌شود و همین موضوع موجب می‌شود آنتی‌ویروسی که روی سیستم‌تان نصب است، هرقدر هم که قوی باشد، نتواند آن‌را شناسایی و شما را از خطری که انتظارتان را می‌کشد مطلع کند.

مراقب ایمیل‌های اسپم باشید

برخی بدافزارهای پاولیکس در فایل‌های نوشتاری Word تعبیه شده که بیشتر به صورت فایل‌های متصل به ایمیل‌های اسپم، وارد صندوق ورودی ایمیل‌هایتان می‌شود. این ایمیل‌ها معمولا طوری آدرس‌دهی می‌شوند که شما به‌عنوان گیرنده فکر می‌کنید از پست کانادا یا USPS برای شما فرستاده شده‌اند. فایل‌های حاوی بدافزار شامل کد خاصی می‌شوند که در آفیس 2003، 2007 و 2010 قابل نصب است. به هر حال، برای جلوگیری از ورود بدافزارهای قوی و عجیبی مانند پاولیکس، آنتی‌ویروس یا باید بتواند پیش از اجرا شدن، آن‌را شناسایی کند و ترجیحا این شناسایی زمانی باشد که بدافزار هنوز به اینباکسِ شخص دسترسی پیدا نکرده باشد یا این‌که به‌عنوان دیوار ثانوی دفاعی، آنتی‌ویروس پس از اجرای فایل، نرم‌افزار را شناسایی کرده یا حتی فرآیند مشکوک را متوقف و کاربر را به نحوی از خطر آگاه کند؛ که بیشتر مواقع این اتفاق نمی‌افتد.به نظر محققان امنیتی Trend Micro که این بدافزار مخرب را بررسی کرده‌اند، احتمال این‌که سازندگان بدافزارها در آینده از روش‌ها و شیوه‌های پاولیکس در ایجاد چنین تهدیداتی استفاده کنند، بسیار زیاد است. آنچه واضح است این که خطراتی نظیر آن، در صندوق ورودی پست‌های الکترونیکی و اسپم‌ها رخنه می‌کند و ما و شما به عنوان یک کاربر، باید مراقب این صندوق کوچک و حساس باشیم تا ناگهان با تخریب خاموش سیستم‌ها و در نتیجه ناامنی ایجاد شده پس از آن، مواجه نشویم.