Обнаружены новые хитроумные вредоносы на основе PowerShell

В течение последних пары недель специалисты в области безопасности зафиксировали два вредоноса, использующих скрипты Windows PowerShell для обхода защиты.

Windows PowerShell — основанная на.NET Framework оболочка командной строки и язык сценариев, разработанные для системного администрирования ОС Windows и ее приложений. Устанавливается по умолчанию в ОС Windows 7 и следующих версиях, для Windows XP доступна в виде отдельного пакета. Попытки использовать PowerShell хакерами предпринимались и ранее, но, по мнению специалистов из Symantec и Trend Micro, теперь использованием этой оболочки вплотную занялись профессиональные вирусописатели из организованных преступных групп.

Обнаруженный Symantec вредоносный PowerShell-скрипт Backdoor.Trojan "имеет совершенно иной уровень реализации, работает как бэкдор, способен встраивать вредоносный код в rundll32.exe (поэтому выявить его чрезвычайно трудно). Другой PowerShell-скрипт был детектирован в конце марта экспертами Trend Micro и получил название CRIGENT или Power Worm. Код CRIGENT распространяется через зараженные документы Word и Excel и при открытии таких вложений загружает дополнительные компоненты (в том числе свободное ПО Tor и веб-прокси-сервер Polipo) и выполняет процедуру очистки документа от инфекции.