微软表示新型Nodersok恶意软件已感染了数千台PC

全世界有成千上万的Windows计算机感染了一种新的恶意软件,该恶意软件下载并安装了Node.js框架的副本,以将受感染的系统转换为代理并执行点击欺诈。

该恶意软件最初在夏季被发现,并通过恶意广告进行分发,该恶意软件强制将HTA(HTML应用程序)文件下载到用户计算机上,该恶意软件分别名为Nodersok(在Microsoft报告中)和Divergent(在Cisco Talos报告中)。

找到并运行这些HTA文件的用户开始了一个涉及Excel,JavaScript和PowerShell脚本的多阶段感染过程,该过程最终下载并安装了Nodersok恶意软件。

恶意软件本身具有多个组件,每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update,还有一个用于将恶意软件的权限提升到SYSTEM级别的组件。

但也有认为是合法的应用程序两个部分组成-即WinDivert和Node.js的。第一个是用于捕获网络数据包并与之交互的应用程序,第二个是用于在Web服务器上运行JavaScript的著名开发人员工具。

根据Microsoft和Cisco的报告,该恶意软件使用这两个合法应用在受感染的主机上启动SOCKS代理。但是,这里的报告分歧很大。微软声称,该恶意软件将受感染的主机转变为代理,以中继恶意流量。思科表示,这些代理用于执行点击欺诈。

但是,恶意软件是恶意软件,尽管有输出,但当有人被感染时,这并不是一个好兆头。就像在客户端-服务器体系结构上构建的任何其他恶意软件一样,Nodersok的创建者可以在任何时候部署其他模块来执行其他任务,甚至可以部署勒索软件或银行木马等次要恶意软件负载。

由于Microsoft发现了该恶意软件,因此Windows Defender也应该能够发现它。

为了防止感染,最好的建议是用户不要运行他们在计算机上找到的任何HTA文件,尤其是在他们不知道文件确切来源的情况下。从网页上突然下载的文件始终是一个不好的信号,并且无论扩展名如何,都不应被信任。

根据微软的遥测技术,Nodersok已经成功感染了“过去几周的数千台机器”。该公司表示,大多数感染已于本月发生,并打击了美国和欧盟的用户。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。