压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

來(lái)自Kahu Security的研究人員們已經(jīng)發(fā)現(xiàn)了一種全新惡意軟件變種，其以JavaScript開(kāi)發(fā)而成，不僅能夠劫持受害者的瀏覽器主頁(yè)，甚至可以在檢測(cè)到嘗試關(guān)閉其進(jìn)程的指令時(shí)關(guān)閉您的計(jì)算機(jī)。

此惡意軟件的各類變種自2014年就已經(jīng)開(kāi)始出現(xiàn)，但其攻擊欲望與咄咄逼人之勢(shì)顯然無(wú)法與此次曝光的最新版本相提并論。

該惡意軟件會(huì)通過(guò)垃圾郵件以惡意文件附件的形式登陸用戶PC設(shè)備，而且盡管其屬于JavaScript文件，但卻并非執(zhí)行于瀏覽器之內(nèi)，而是經(jīng)由Windows Script Host——即Windows的內(nèi)置JavaScript執(zhí)行器——實(shí)現(xiàn)運(yùn)行。

高度混淆之下掩藏的惡意活動(dòng)

著眼于該惡意軟件的源代碼，普通用戶只會(huì)看到一大堆被隨機(jī)混雜起來(lái)的字符，別無(wú)其它。

Kahu Security的研究人員們表示，該腳本利用混淆機(jī)制對(duì)其真正的有效載荷進(jìn)行了隱藏——而這部分有效載荷會(huì)經(jīng)由一系列操作改變底層操作系統(tǒng)設(shè)置。除了混淆之外，該腳本還會(huì)運(yùn)用到了編碼字符、正則表達(dá)式搜索、正則表達(dá)式替換、罕見(jiàn)的base轉(zhuǎn)換（該腳本配合base33）以及條件語(yǔ)句等模糊處理手段。

經(jīng)過(guò)不懈努力，研究人員最終還是摸清了源代碼的實(shí)際含義，即這套腳本的具體惡意行為流程：

1)在AppDataRoaming目錄之下創(chuàng)建一個(gè)新的文件夾，并利用新的注冊(cè)表項(xiàng)將其隱藏起來(lái)。

2)將合法的Windows wscript.exe應(yīng)用復(fù)制到此文件夾當(dāng)中，并為其賦予一個(gè)隨機(jī)名稱。

3)將自身復(fù)制到此文件夾當(dāng)中，而后為自身創(chuàng)建一條快捷方式，其名稱為“Start”并被放置在“Startup”文件夾內(nèi)，亦可通過(guò)Windows開(kāi)始菜單進(jìn)行訪問(wèn)。

4)為該Start快捷方式分配一個(gè)偽造的文件夾圖標(biāo)，從而讓用戶誤以為其屬于一個(gè)文件夾而非文件。

5)腳本代碼的剩余部分會(huì)嘗試訪問(wèn)微軟、谷歌或者必應(yīng)等網(wǎng)站，從而檢查互聯(lián)網(wǎng)連接情況。

6)將遙測(cè)數(shù)據(jù)發(fā)送至urchintelemetry[.]com，并從95.153.31[.]22處下載并運(yùn)行一個(gè)加密文件。

7)此加密文件屬于另一個(gè)JS腳本，其負(fù)責(zé)將Chrome、火狐以及IE等瀏覽器的首頁(yè)設(shè)置為login.hhtxnet[.]com。截至發(fā)稿之時(shí)，此首頁(yè)會(huì)將用戶重新定向至另一網(wǎng)站：portalne[.]ws。

8)這后一套腳本利用WMI（即Windows管理規(guī)范）以檢查各與安全性相關(guān)的軟件。

9)如果該腳本發(fā)現(xiàn)與安全性相關(guān)的軟件，則會(huì)利用偽造的錯(cuò)誤信息終止其執(zhí)行。

10)如果用戶在任務(wù)管理器當(dāng)中找到wscript.exe進(jìn)程并嘗試將其關(guān)閉，該腳本會(huì)立即執(zhí)行一條CLI命令以關(guān)閉用戶的計(jì)算機(jī)。

11)當(dāng)用戶重啟自己的PC設(shè)備時(shí)，由于該“Start”腳本仍存在于Startup菜單當(dāng)中，因此惡意JS軟件會(huì)在啟動(dòng)完成后繼續(xù)保持運(yùn)行。

“如果大家希望在自己的計(jì)算機(jī)上關(guān)閉這套腳本，則可直接以安全模式進(jìn)行啟動(dòng)（或者使用其它賬戶登錄），而后移除該啟動(dòng)鏈接與對(duì)應(yīng)文件夾，”Kahu Security安全專家Darryl寫道?！叭绻蠹蚁Ｍ谠撃_本運(yùn)行過(guò)程中對(duì)其進(jìn)行分析，則可對(duì)您的安全工具重新命名，即可確保不被其發(fā)現(xiàn)。”