Crigent - новый червь, использующий Windows PowerShell


Crigent (Trend Micro) - вредоносное ПО, способное заражать файлы Word и Excel. Другое название данного червя - Power Worm.

Червь Crigent использует Windows PowerShell вместо того, чтобы создавать или включать выполняемый код. Напомним, что Windows PowerShell является мощной интерактивной оболочкой (инструментом), поддерживающей все версии Windows.

Интересно, но вся активность Crigent осуществляется именно через скрипты PowerShell. А это значит, что ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить червя.

Распространяется червь посредством инфицированного документа Word или Excel, который могут загрузить пользователи. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. При этом злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Все копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID:

  • {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}


Обнаруживается червь внутри системы несколькими способами:

  • Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor.
  • Во-вторых, присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.


Второй способ заключен в том, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости.