時間:2019-09-29 來源:互聯網 瀏覽量:
9月29日消息 近日,微軟和思科同時報告稱,目前全球正有成千上萬的Windows計算機被一種新型的惡意軟件感染,在微軟的報告中,將這種惡意軟件稱為Nodersok,在思科的報告中,將其稱為Divergent,本文主要以Nodersok為名介紹。
Nodersok惡意軟件最初在今年夏天被發現,它通過惡意廣告進行分發,強製將HTA(HTML應用程序)文件下載到用戶計算機上,一旦運行了這個軟件,用戶的電腦就會進行一個涉及Excel,JavaScript和PowerShell腳本的多階段感染過程,該進程最終下載並安裝Nodersok惡意軟件。
根據微軟的報告,Nodersok惡意軟件本身具有多個組件,每個組件都有其自己的角色。有一個PowerShell模塊試圖禁用Windows Defender和Windows Update,還有一個用於將惡意軟件的權限提升到SYSTEM級別的組件。
但其中也有兩個被認為是合法的應用組件,即WinDivert和Node.js。第一個是用於捕獲網絡數據包並與之交互的應用程序,第二個是用於在Web服務器上運行JavaScript的著名開發人員工具。根據微軟和思科的報告,該惡意軟件使用這兩個合法應用組件在受感染的主機上啟動SOCKS代理。但是,這裏有一個分歧,微軟聲稱該惡意軟件將受感染的主機轉變為代理,以中繼惡意流量。思科表示,這些代理用於執行點擊欺詐。
為了防止被感染,建議大家不要運行他們在計算機上找到的任何HTA文件,尤其是在不知道文件確切來源的情況下。根據微軟的遙測技術,Nodersok已經在過去幾周成功感染了數千台機器。微軟表示,大多數感染於本月發生,主要在美國和歐盟地區傳播。