Windows用戶請(qǐng)當(dāng)心�����! 一種新的惡意軟件正在快速傳播。 而你的殺毒軟件將無(wú)法檢測(cè)到它�����。 新的無(wú)文件惡意軟件微軟和思科兩家公司近日?qǐng)?bào)告一種新的惡意軟件正在影響全球成千上萬(wàn)臺(tái)Windows計(jì)算機(jī)�,而且威脅正在不斷傳播。 微軟將其稱為Nodersok����,思科將其稱為Divergent。 該惡意軟件是一款無(wú)文件惡意軟件����,主要通過(guò)惡意的在線廣告進(jìn)行傳播,并且使用偷渡式下載攻擊感染用戶計(jì)算機(jī)���。 什么是無(wú)文件惡意軟件����?沒有文件要怎么運(yùn)行呢�����?實(shí)際上這里的無(wú)文件指的是通過(guò)進(jìn)駐內(nèi)存來(lái)保證隱身�����,以達(dá)到攻擊者的目的。 Nodersok正是利用合法的系統(tǒng)內(nèi)置程序來(lái)提高權(quán)限�����,悄無(wú)聲息地對(duì)計(jì)算機(jī)發(fā)起攻擊��,并不使用任何惡意代碼����。 這種手法使其很難被安全產(chǎn)品檢測(cè)到,從而使攻擊者能夠以管理員的身份訪問系統(tǒng)��,而留下的足跡卻很少��。 感染過(guò)程當(dāng)用戶在計(jì)算機(jī)上單擊HTA文件時(shí)��,這種感染就開始了���。 該惡意軟件執(zhí)行一系列JavaScript和PowerShell腳本,最終將下載并安裝Nodersok惡意軟件���。 感染過(guò)程是多階段的���,JavaScript將惡意軟件連接到合法的領(lǐng)域�,以下載并運(yùn)行第二階段的腳本和其他加密組件�����,包括PowerShell���、二進(jìn)制Shellcode �����、Node.exe和WinDivert��。 此外���,該惡意軟件本身具有多個(gè)組件,被用以禁用Windows本身的功能和提高系統(tǒng)權(quán)限����。 當(dāng)感染結(jié)束后,受感染的計(jì)算機(jī)就成為潛在的代理���,并形成中繼服務(wù)器�����。攻擊者可以利用其執(zhí)行隱蔽的惡意活動(dòng)��,以轉(zhuǎn)發(fā)惡意流量或進(jìn)行點(diǎn)擊欺詐���。 為了避免感染���,微軟建議Windows用戶不要運(yùn)行未知的HTA文件,特別是那些他們不記得下載來(lái)源或無(wú)法識(shí)別的文件��。 * 本文由看雪編輯 LYA 編譯自 The Hacker News��,轉(zhuǎn)載請(qǐng)注明來(lái)源及作者�����。 |
