De ce fait, on peut aussi appeler ces infections malware PowerShell.
Vous pouvez aussi lire en parallèle la page : Les virus ou trojan Powershell.
PowerShell est un langage de script qui permet à peu près tout de faire et ainsi aussi de créer des malwares dans ce langage. Le premier malware "fileless" se nomme Poweliks puis Trojan.Gootkit (aka Wonton / Xswkit ) Fichier(s) joint(s) ) et enfin Kovter, à l'origine un ransomware 'gendarmerie', devenu par la suite un Trojan.Clicker se sont mis à utiliser ces techniques "fileless'. D'autres vont probablement venir par la suite.
PoweLiks a été évoqué rapidement sur ce sujet qui abordait aussi d'ailleurs un ransomware écrit en PowerShell : http://forum.malekal.com/rancongiciels- ... ml#p398299
La première version de PoweLiks créé une clef Run qui charge en mémoire le malware en utilisant La clef contient un caractère Null, l'éditeur du registre Windows est alors incapable d'afficher les données contenues dans la clef et bien entendu la supprimer.
Le méchanisme de fonctionnement de PoweLinks - Retentez donc que le dropper créé, une clef RUN qui charge le script PowerShell pour charger une DLL qui va injecter un processus et être actif en mémoire. Tout le contenu nécessaire se trouve dans la clef Run et aucun fichier n'est créé sur le disque.

Kovter a copié ce procédé pour sortir sa nouvelle version 'fileless' :

FRST ou Autoruns n'ont aucun problème pour afficher la clef et son contenu.
Au démarrage, on peut voir mshta.exe se lançait ainsi que powershell :

En vidéo, Le malware Kovter :
Les détections McAfee concernant ces trois familles de Trojan FileLess durant l'année 2015 :
La distribution de ces trojans Fileless, à travers notamment des campagnes d'emails de SPAM malicieux. Au 1er Avril 2015 (ce n'est pas un poisson d'avril), nous parlions d'une campagne d'emails avec des faux documents du ministère de la Justice propulsant le Trojan.Gootkit (aka Win32/Xswkit) : Gootkit et campagne de mail Justice
PowerLiks a aussi connu sa campagne de SPAM, par exemple, ci-dessous un mail malicieux America Airlines
Moins connu, le Trojan Phasebot qui semble être une mise à jour de Solarbot, voici la 'publicité' faites par le développeur pour vendre son Trojan. Ce dernier est vendu comme un Rootkit FileLess. Une introduction sur Phasebot par Trend-Micro : Without a Trace: Fileless Malware Spotted in the Wild
Un PDF concernant ces Trojan PowerShell : https://www.carbonblack.com/wp-content/ ... port-1.pdf
Les 3 familles les plus répandus : Wawtrak, PoweLiks, Crigent
que des Trojan Banker
La répartition des activités malveillantes :
Il est donc fort à parier que de nouvelles familles apparaissent, ou comme c'est le cas de Kovter, une famille existant utilise ces procédés qui peuvent poser des problèmes de détections.
Côté Antivirus, j'ai fait quelques tests sur Kovter :
AVG Antivirus Gratuits le détecte et le supprime.
A noter qu'AVG détecte Kovter en Poweliks


Microsoft Security Essential détecte le processus Kovter mais ne nettoyage pas l'infection, probablement parce que MSE ne scanne pas le registre Windows.
Le processus malicieux est arrêté mais se relance au démarrage suivant.

Par contre, le bouclier de protection de Microsoft Security Essential détecte les clefs dans le registre.
Comme le malware les créés aussitôt, il faut que le scan en ligne est arrête les processus et il faut nettoyer les clefs ensuite pour que l'infection ne se remette pas.

Malwarebytes Anti-Malware détecte les clefs du registre en Rootkit.FileLess.MTGen
De même il faut vite rebooter l'ordinateur après le nettoyage afin que les clefs ne soient pas recréés.

Avast! et Antivir sont largués.


Avast! peut voir le "résultat" de l'infection, c'est à dire les tentatives de connexions malicieuses.
On obtiendra alors des alertes URL:MAL sur Powershell.exe

Mitigation pour les domaines d'entreprises, AppLocker peut s'avérer utile.
Sources :
- Les virus ou trojan Powershell
- http://blog.trendmicro.com/trendlabs-se ... -registry/
- http://www.symantec.com/connect/blogs/p ... nt-removal
- http://www.kernelmode.info/forum/viewto ... =16&t=3669
- https://reaqta.com/2015/09/poweliks-fil ... -evolving/
- http://www.symantec.com/connect/blogs/k ... try-update
- http://www.xylibox.com/2015/01/phase-wi ... bot-a.html
- http://www.mcafee.com/us/resources/repo ... sf19381385