JavaScript全新惡意軟件曝光
責編:mhshi |2016-10-11 14:26:47來自Kahu Security的研究人員們已經發現了一種全新惡意軟件變種,其以JavaScript開發而成,不僅能夠劫持受害者的瀏覽器主頁,甚至可以在檢測到嘗試關閉其進程的指令時關閉您的計算機。
此惡意軟件的各類變種自2014年就已經開始出現,但其攻擊欲望與咄咄逼人之勢顯然無法與此次曝光的最新版本相提并論。
該惡意軟件會通過垃圾郵件以惡意文件附件的形式登陸用戶PC設備,而且盡管其屬于JavaScript文件,但卻并非執行于瀏覽器之內,而是經由Windows Script Host——即Windows的內置JavaScript執行器——實現運行。
高度混淆之下掩藏的惡意活動
著眼于該惡意軟件的源代碼,普通用戶只會看到一大堆被隨機混雜起來的字符,別無其它。
Kahu Security的研究人員們表示,該腳本利用混淆機制對其真正的有效載荷進行了隱藏——而這部分有效載荷會經由一系列操作改變底層操作系統設置。除了混淆之外,該腳本還會運用到了編碼字符、正則表達式搜索、正則表達式替換、罕見的base轉換(該腳本配合base33)以及條件語句等模糊處理手段。
經過不懈努力,研究人員最終還是摸清了源代碼的實際含義,即這套腳本的具體惡意行為流程:
1)在AppDataRoaming目錄之下創建一個新的文件夾,并利用新的注冊表項將其隱藏起來。
2)將合法的Windows wscript.exe應用復制到此文件夾當中,并為其賦予一個隨機名稱。
3)將自身復制到此文件夾當中,而后為自身創建一條快捷方式,其名稱為“Start”并被放置在“Startup”文件夾內,亦可通過Windows開始菜單進行訪問。
4)為該Start快捷方式分配一個偽造的文件夾圖標,從而讓用戶誤以為其屬于一個文件夾而非文件。
5)腳本代碼的剩余部分會嘗試訪問微軟、谷歌或者必應等網站,從而檢查互聯網連接情況。
6)將遙測數據發送至urchintelemetry[.]com,并從95.153.31[.]22處下載并運行一個加密文件。
7)此加密文件屬于另一個JS腳本,其負責將Chrome、火狐以及IE等瀏覽器的首頁設置為login.hhtxnet[.]com。截至發稿之時,此首頁會將用戶重新定向至另一網站:portalne[.]ws。
8)這后一套腳本利用WMI(即Windows管理規范)以檢查各與安全性相關的軟件。
9)如果該腳本發現與安全性相關的軟件,則會利用偽造的錯誤信息終止其執行。
10)如果用戶在任務管理器當中找到wscript.exe進程并嘗試將其關閉,該腳本會立即執行一條CLI命令以關閉用戶的計算機。
11)當用戶重啟自己的PC設備時,由于該“Start”腳本仍存在于Startup菜單當中,因此惡意JS軟件會在啟動完成后繼續保持運行。
“如果大家希望在自己的計算機上關閉這套腳本,則可直接以安全模式進行啟動(或者使用其它賬戶登錄),而后移除該啟動鏈接與對應文件夾,”Kahu Security安全專家Darryl寫道。“如果大家希望在該腳本運行過程中對其進行分析,則可對您的安全工具重新命名,即可確保不被其發現。”