Windows使用者請當心!
一種新的惡意軟體正在快速傳播。
而你的防毒軟體將無法檢測到它。
新的無檔案惡意軟體
微軟和思科兩家公司近日報告一種新的惡意軟體正在影響全球成千上萬臺Windows計算機,而且威脅正在不斷傳播。
微軟將其稱為Nodersok,思科將其稱為Divergent。
該惡意軟體是一款無檔案惡意軟體,主要透過惡意的線上廣告進行傳播,並且使用偷渡式下載攻擊感染使用者計算機。
什麼是無檔案惡意軟體?沒有檔案要怎麼執行呢?實際上這裡的無檔案指的是透過進駐記憶體來保證隱身,以達到攻擊者的目的。
Nodersok正是利用合法的系統內建程式來提高許可權,悄無聲息地對計算機發起攻擊,並不使用任何惡意程式碼。
這種手法使其很難被安全產品檢測到,從而使攻擊者能夠以管理員的身份訪問系統,而留下的足跡卻很少。
感染過程
當使用者在計算機上單擊HTA檔案時,這種感染就開始了。
該惡意軟體執行一系列JavaScript和PowerShell指令碼,最終將下載並安裝Nodersok惡意軟體。
感染過程是多階段的,JavaScript將惡意軟體連線到合法的領域,以下載並執行第二階段的指令碼和其他加密元件,包括PowerShell、二進位制Shellcode 、Node.exe和WinDivert。
此外,該惡意軟體本身具有多個元件,被用以禁用Windows本身的功能和提高系統許可權。
當感染結束後,受感染的計算機就成為潛在的代理,並形成中繼伺服器。攻擊者可以利用其執行隱蔽的惡意活動,以轉發惡意流量或進行點選欺詐。
為了避免感染,微軟建議Windows使用者不要執行未知的HTA檔案,特別是那些他們不記得下載來源或無法識別的檔案。
* 本文由看雪編輯LYA編譯自The Hacker News,轉載請註明來源及作者。