“您的主機已被接管！”新型 JavaScript 遠控木馬花樣來襲

惡意檔案家族：

Sliemerez

威脅型別：

遠控木馬

簡單描述：

Sliemerez 是一款使用 JavaScript 編寫的多功能病毒，具有載入遠端檔案、許可權維持及遠控行為。該病毒最近開始變型傳播，最早可追溯到17年。 

惡意檔案分析

1.惡意檔案描述

近期，深信服深盾終端實驗室在運營工作中捕獲到一款潛伏已久的使用 JavaScript 編寫的多功能病毒，該病毒具有載入遠端檔案、許可權維持及遠控行為。該病毒最近開始變型傳播，最早可追溯到17年。

2.惡意檔案分析

該樣本經過多次編碼、替換，繞過靜態檔案檢測。

經過替換解碼之後的部分內容如下：

這部分程式碼會釋放一個 JS 檔案，同時從遠端伺服器下載一個 exe 檔案到 %appdata% 目錄並執行，該伺服器已經失效，無法獲取下載的 exe；釋放出來的檔案部分內容如下：

收集當前主機環境：

在執行的時候會檢視某一登錄檔項判斷指令碼時候已經執行過、判斷指令碼位置是否在環境是否在根目錄。

許可權維持：

在判斷主機環境之後該指令碼會把自身寫入到登錄檔HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下，同時將檔案複製到使用者的啟動目錄中，主機在開機時會自動執行該指令碼。

遠控：

在執行完維權之後會進入一個永真的迴圈中，該迴圈會持續收集主機的磁碟、主機名、使用者名稱、系統版本、殺軟、執行環境等資訊並透過 HTTP POST 方法回傳到 C2 伺服器，並從伺服器接受返回指令，透過對應的指令執行不同的操作，每次回傳間隔 7000ms：

該指令碼支援的指令如下：

處置建議

1. 避免開啟來歷不明的郵件、連結和附件等，如一定要開啟未知檔案，請先使用防毒軟體進行掃描；

2. 定期使用防毒軟體進行全盤掃描。