ce安全网绿色资源分享

教程资讯|常用软件|安卓下载|下载排行|最近更新

软件
软件
文章
当前位置:首页网络安全网络安全文章 → JavaScript恶意软件曝光:电脑系统被恶意软件攻击

JavaScript恶意软件曝光:电脑系统被恶意软件攻击

时间:2019-03-28 11:56:40人气:作者:本站作者我要评论

来自Kahu Security的研究人员们已经发现了一种全新恶意软件变种,其以JavaScript开发而成,不仅能够劫持受害者的浏览器主页,甚至可以在检测到尝试关闭其进程的指令时关闭您的计算机。

JavaScript恶意软件曝光:电脑系统被恶意软件攻击

此恶意软件的各类变种自2014年就已经开始出现,但其攻击欲望与咄咄逼人之势显然无法与此次曝光的最新版本相提并论。
该恶意软件会通过垃圾邮件以恶意文件附件的形式登陆用户PC设备,而且尽管其属于JavaScript文件,但却并非执行于浏览器之内,而是经由Windows Script Host——即Windows的内置JavaScript执行器——实现运行。
高度混淆之下掩藏的恶意活动
着眼于该恶意软件的源代码,普通用户只会看到一大堆被随机混杂起来的字符,别无其它。
Kahu Security的研究人员们表示,该脚本利用混淆机制对其真正的有效载荷进行了隐藏——而这部分有效载荷会经由一系列操作改变底层操作系统设置。除了混淆之外,该脚本还会运用到了编码字符、正则表达式搜索、正则表达式替换、罕见的base转换(该脚本配合base33)以及条件语句等模糊处理手段。
经过不懈努力,研究人员最终还是摸清了源代码的实际含义,即这套脚本的具体恶意行为流程:
1)在AppDataRoaming目录之下创建一个新的文件夹,并利用新的注册表项将其隐藏起来。
2)将合法的Windows wscript.exe应用复制到此文件夹当中,并为其赋予一个随机名称。
3)将自身复制到此文件夹当中,而后为自身创建一条快捷方式,其名称为“Start”并被放置在“Startup”文件夹内,亦可通过Windows开始菜单进行访问。
4)为该Start快捷方式分配一个伪造的文件夹图标,从而让用户误以为其属于一个文件夹而非文件。
5)脚本代码的剩余部分会尝试访问微软、谷歌或者必应等网站,从而检查互联网连接情况。
6)将遥测数据发送至urchintelemetry[.]com,并从95.153.31[.]22处下载并运行一个加密文件。
7)此加密文件属于另一个JS脚本,其负责将Chrome、火狐以及IE等浏览器的首页设置为login.hhtxnet[.]com。截至发稿之时,此首页会将用户重新定向至另一网站:portalne[.]ws。
8)这后一套脚本利用WMI(即Windows管理规范)以检查各与安全性相关的软件。
9)如果该脚本发现与安全性相关的软件,则会利用伪造的错误信息终止其执行。
10)如果用户在任务管理器当中找到wscript.exe进程并尝试将其关闭,该脚本会立即执行一条CLI命令以关闭用户的计算机。
11)当用户重启自己的PC设备时,由于该“Start”脚本仍存在于Startup菜单当中,因此恶意JS软件会在启动完成后继续保持运行。
“如果大家希望在自己的计算机上关闭这套脚本,则可直接以安全模式进行启动(或者使用其它账户登录),而后移除该启动链接与对应文件夹,”Kahu Security安全专家Darryl写道。“如果大家希望在该脚本运行过程中对其进行分析,则可对您的安全工具重新命名,即可确保不被其发现。”

相关文章

猜你喜欢

  • Ougishi绿色版下载 V4.00 中文版

    2020-06-19 / 561k

  • 谷歌地图下载助手睿智版破解下载 V9.5绿色版

    2020-06-19 / 32.7M

  • OfficeFIX中文破解版V6.110 注册版

    2020-06-19 / 26.8M

  • Plotagraph破解版V1.2.0 免费版 32/64位

    2020-06-19 / 31.5M

  • IP查详细地址工具下载 V1.1 官方免费版

    2020-06-19 / 408K

  • 内存扫把中文版下载V1.97绿色版

    2020-06-19 / 1.3M

网友评论

验证码:

请自觉遵守互联网相关政策法规,评论内容只代表网友观点,与本站立场无关!

最新评论

已有人参与,点击查看更多精彩评论

关于CE安全网 | 联系方式 | 发展历程 | 版权声明 | 下载帮助(?) | 广告联系 | 网站地图 | 友情链接

Copyright 2019-2029 cesafe.com 【CE安全网】 版权所有 蜀ICP备19039426号-2| 蜀ICP备19039426号-2

声明: 本站为非赢利性网站 不接受任何赞助和广告 所有软件和文章来自互联网 如有异议 请与本站联系 技术支持:ce安全网