微软发现全球数千台Windows电脑感染了一种新的恶意软件,该恶意软件下载并安装了node.js框架的副本,以将受感染的系统转换为代理,执行点击欺诈。该恶意软件被称为Nodersok或者Divergent,最初是在今年夏季发现的,通过恶意广告在用户电脑上强行下载HTA文件进行传播。
找到并运行这些HTA文件的用户,开始了一个涉及Excel,JavaScript和PowerShell脚本的多阶段感染过程,该过程最终下载并安装了Nodersok恶意软件。恶意软件本身具有多个组件,每个组件都有其自己的角色。有一个PowerShell模块试图禁用WindowsDefender和Windows Update,还有一个组件将恶意软件权限提升到系统级别。
根据Microsoft和CISCO的 告,该恶意软件使用其中包含的2个合法应用在受感染的主机上启动SOCKS代理。但是,这里的 告分歧很大,微软声称,该恶意软件将受感染的主机转变为代理,以转发恶意流量。而思科则表示,这些代理用于执行点击欺诈。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!