9月28日消息,微軟發現全球數千臺Windows電腦感染了一種新的惡意軟件,該惡意軟件下載并安裝了node.js框架的副本,以將受感染的系統轉換為代理,執行點擊欺詐。該惡意軟件被稱為Nodersok或者Divergent,最初是在今年夏季發現的,通過惡意廣告在用戶電腦上強行下載HTA文件進行傳播。


微軟發現全球數千臺Windows電腦感染新型Nodersok惡意軟件


找到并運行這些HTA文件的用戶,開始了一個涉及Excel,JavaScript和PowerShell腳本的多階段感染過程,該過程最終下載并安裝了Nodersok惡意軟件。惡意軟件本身具有多個組件,每個組件都有其自己的角色。有一個PowerShell模塊試圖禁用WindowsDefender和Windows Update,還有一個組件將惡意軟件權限提升到系統級別。


根據Microsoft和CISCO的報告,該惡意軟件使用其中包含的2個合法應用在受感染的主機上啟動SOCKS代理。但是,這里的報告分歧很大,微軟聲稱,該惡意軟件將受感染的主機轉變為代理,以轉發惡意流量。而思科則表示,這些代理用于執行點擊欺詐。


為了防止感染,最好的建議是用戶不要運行在電腦上找到的任何HTA文件,尤其是在不知道文件確切來源情況下。根據微軟遙測技術,Nodersok過去幾周已經成功感染了數千臺電腦。Nodersok的棘手部分是使用了合法應用程序和內存有效負載,對于經典的基于簽名的防病毒程序來說,它們非常難以檢測Nodersok感染。


微軟發現全球數千臺Windows電腦感染新型Nodersok惡意軟件

微軟發現全球數千臺Windows電腦感染新型Nodersok惡意軟件


我來說幾句

不吐不快,我來說兩句
最新評論

還沒有人評論哦,搶沙發吧~