Ещё один вредонос на PowerShell

Компания Symantec обнаружила ещё один вредоносный код, написанный на сценарном языке PowerShell, который интегрирован в последние версии Windows и используется для автоматизации администрирования операционной системы. Новый вредоносный сценарий использует методы защиты от анализа собственного кода с помощью кодировки Base64 и архивирования, а также пытается встроить свой код в процесс rundll32.exe. Если это ему удаётся, то он обращается на удалённый сервер за дальнейшими инструкциями.

Ранее компанией SophosLabs уже были обнаружены аналогичные вредоносные сценарии на PowerShell, что говорит о активном развитии этого направления у вирусописателей. Используемые в новых операционных системах Windows инструменты защиты показали свою эффективность, что затрудняет хакерам атаки на них, поэтому вирусописателям приходится придумыварть новые механизмы нападения, основанные на недавно созданных компонентах операционной системы. В частности, PowerShell начал использоваться разработчиками Microsoft для автоматизации настроек, что позволяет с его помощью встроить собственные вредоносные элементы в уже существующие сценарии на этом языке. Пока не совсем понятно насколько готовы разработчики средств защиты к анализу кодов PowerShell и интеграции во вполне легитимные сценарии посторонних фрагментов. Аналогичная проблема сейчас существует для CMS-систем, написанных на PHP, и пока эффективной защиты от такого типа атак не придумано.