Malware die zich alleen in het Windows Register verbergt om zo detectie en verwijdering te voorkomen heeft de afgelopen maanden bijna 200.000 computers geïnfecteerd. Het gaat om de Poweliks-malware, die besmette computers voor clickfraude gebruikt en zelfs een zero day-lek in Windows toepaste om een computer volledig te kunnen overnemen. Eenmaal actief zal Poweliks eerst controleren of Windows PowerShell aanwezig is.

Dit is een scripttaal waarmee systeembeheerders allerlei taken kunnen automatiseren. Het is standaard in Windows 7 aanwezig en kan ook op andere Windows-versies worden geïnstalleerd. In het geval PowerShell niet aanwezig is wordt het gedownload en geïnstalleerd. PowerShell zal later worden gebruikt om een gecodeerd scriptbestand uit te voeren.

Dit scriptbestand bevat de malware en maakt het mogelijk om aanvullende malware te downloaden en installeren. Vervolgens wordt er een sleutel in het Windows Register aangemaakt zodat de malware ook bij een volgende herstart van het systeem wordt geladen. Door het niet gebruiken van een bestand, zoals de meeste malware doet, maar zich volledig in het Windows Register te verbergen zou Poweliks lastiger te detecteren en te verwijderen zijn.

Ransomware

De malware heeft als doel om clickfraude te plegen, waarbij er via een verborgen browservenster allerlei pagina's worden bezocht die advertenties bevatten. De criminelen worden voor elke getoonde advertentie betaald. Een probleem voor slachtoffers van Poweliks is dat de getoonde advertenties zelf ook kwaadaardig kunnen zijn. Een met Poweliks besmette computer kan daardoor ook met allerlei andere dreigingen geïnfecteerd raken, waaronder ransomware.

Volgens anti-virusbedrijf Symantec, dat een rapport (pdf) over de malware publiceerde, zijn er veel gevallen bekend waarbij er via de getoonde advertenties ransomware werd gedownload. Opvallend is dat de malware vooral in de Verenigde Staten actief is. Van de 198.500 besmette computers bleek dat 99,5% zich in de VS bevond. Toch wil dat niet zeggen dat gebruikers in andere landen geen risico lopen. De virusbestrijder stelt dat Poweliks laat zien wat toekomstige dreigingen kunnen doen, waarbij cybercriminelen nog vastbeslotener zijn om geld via hun creaties te verdienen.