Windows PowerShell規制を回避するトロイの木馬発見

Malwarebytes was founded on the belief that you and everyone have a fundamental right to a malware-free existence.

Malwarebytesは1月22日(米国時間)、「Trojan.DNSChanger circumvents Powershell restrictions|Malwarebytes Unpacked」において、Windows PowerShellの実行規制をパイパスしてPowerShellスクリプトを利用するトロイの木馬が見つかったと伝えた。このマルウェアが実行されると影響を受けたシステムのDNSの設定が変更される危険性がある。

Microsoftはセキュリティ上の理由からPowerShellスクリプトをデフォルトでは実行できないように設定している。PowerShell起動時にプロファイルに記述した処理が実行されないようであれば、この規制が有効になっている。PowerShellスクリプトを実行できるようにするには管理者権限でポリシーを変更する必要がある。

しかし、PowerShellスクリプトをエンコードしておき、powershell.exeにこのエンコードした文字列を指定して処理を実行させることでこのポリシーを回避できることが判明。この機能を利用したトロイの木馬が発見されたとしている。



人気記事

一覧

イチオシ記事

新着記事