1. 威客安全首页
  2. 安全资讯

数千台个人电脑已被新型Nodersok恶意软件感染!


数千台个人电脑已被新型Nodersok恶意软件感染!


微软发现全球数千台Windows电脑感染了一种新的恶意软件,该恶意软件下载并安装了node.js框架的副本,以将受感染的系统转换为代理,执行点击欺诈。该恶意软件被称为Nodersok或者Divergent,最初是在今年夏季发现的,通过恶意广告在用户电脑上强行下载HTA文件进行传播。
找到并运行这些HTA文件的用户,开始了一个涉及Excel,JavaScript和PowerShell脚本的多阶段感染过程,该过程最终下载并安装了Nodersok恶意软件。恶意软件本身具有多个组件,每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update,还有一个组件将恶意软件权限提升到系统级别。
根据Microsoft和CISCO的报告,该恶意软件使用其中包含的2个合法应用在受感染的主机上启动SOCKS代理。但是,这里的报告分歧很大,微软声称,该恶意软件将受感染的主机转变为代理,以转发恶意流量。而思科则表示,这些代理用于执行点击欺诈。
为了防止感染,最好的建议是用户不要运行在电脑上找到的任何HTA文件,尤其是在不知道文件确切来源情况下。根据微软遥测技术,Nodersok过去几周已经成功感染了数千台电脑。Nodersok的棘手部分是使用了合法应用程序和内存有效负载,对于经典的基于签名的防病毒程序来说,它们非常难以检测Nodersok感染。

数千台个人电脑已被新型Nodersok恶意软件感染!

数千台个人电脑已被新型Nodersok恶意软件感染!


来源:cnbeta



数千台个人电脑已被新型Nodersok恶意软件感染!


网 络 强 国 建 设 的 思 想 库 
—— 安 全 产 业 发 展 的 情 报 站 —— 
创 新 企 业 腾 飞 的 动 力 源


···························································


投稿网址:http://www.txjszz.com
合作热线:010-88203306



原文始发于微信公众号(信息安全与通信保密杂志社):数千台个人电脑已被新型Nodersok恶意软件感染!

本文转为转载文章,本文观点不代表威客安全立场。

发表评论

登录后才能评论

联系我们

4006-119-120

在线咨询:点击这里给我发消息

邮件:public@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

X