9月29日消息 微软和思科Talos表示,一种新的,难以被反病毒软件发现的恶意软件正在积极开发中,目前正在欧洲和美国的数千台计算机中传播。该恶意软件被微软称为Nodersok,或被Cisco Talos称为Divergent。他们通过使用Node.js框架和WinDivert(这是Windows的用户模式数据捕获和转移软件包)的代理服务器,将计算机转变为代理来促进恶意软件的传播,受影响的Windows版本包括2008、7、10和2016。
Nodersok恶意软件最初在今年夏天被发现,它通过恶意广告进行分发,强制将HTA(HTML应用程序)文件下载到用户计算机上,一旦运行了这个软件,用户的电脑就会进行一个涉及Excel,JavaScript和PowerShell脚本的多阶段感染过程,该进程最终下载并安装Nodersok恶意软件。
根据微软的报告,Nodersok恶意软件本身具有多个组件,每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update,还有一个用于将恶意软件的权限提升到SYSTEM级别的组件。
一位微软研究人员用以下术语描述了恶意软件的活动:
攻击者可以利用此恶意软件来针对公司网络,并且该恶意软件的主要目的是进行点击欺诈,它还同时具备在其他点击欺诈恶意软件(例如Kovter)中观察到的几个特征。
Windows Defender可能能够识别并阻止Nodersok(也称为Divergent)的行为,但事实证明,检测到这种恶意软件比以往的案例要来得更加困难:因为Nodersok采用了先进的无文件技术,而且还因为它依赖于一种难以捉摸的网络基础架构,该网络基础架构会导致攻击在反病毒软件监控下继续进行。
微软建议用户避免运行在其系统上找到的.hta文件格式,日常也需要注意无法识别的可疑文件,确保不会运行任何无法确定其来源的信息。
但其中也有两个被认为是合法的应用组件,即WinDivert和Node.js。第一个是用于捕获网络数据包并与之交互的应用程序,第二个是用于在Web服务器上运行JavaScript的著名开发人员工具。根据微软和思科的报告,该恶意软件使用这两个合法应用组件在受感染的主机上启动SOCKS代理。但是,这里有一个分歧,微软声称该恶意软件将受感染的主机转变为代理,以中继恶意流量。思科表示,这些代理用于执行点击欺诈。
为了防止被感染,建议大家不要运行他们在计算机上找到的任何HTA文件,尤其是在不知道文件确切来源的情况下。根据微软的遥测技术,Nodersok已经在过去几周成功感染了数千台机器。微软表示,大多数感染于本月发生,主要在美国和欧盟地区传播。
