来自Kahu Security的研究人员发现一种新型恶意软件变体,使用JavaScript编写,它能够劫持用户浏览器的主页,但如果你检测到它的入侵并试图终止其进程,它会将计算机关闭。
这款恶意软件的多个变体2014年就已出现,但最新版本的变体最具威胁性。
它通过在垃圾电子邮件中添加恶意附件感染用户的PC端,但附件的JavaScript不会在浏览器中执行,而是通过Windows内置的JavaScript运行器Windows Script Host运行。
通过查看这款恶意软件的源代码,普通用户除了看到混乱的随机字符很难发现异常。
Kahu Security的研究人员表示,该脚本进行了模糊处理来隐藏其真实的功能,其中包括一系列修改底层操作系统设置的操作。除此之外,脚本中还使用了字符编码、正则表达式搜索、正则表达式替换、非常规基址转换(base33)、条件语句等技巧。
研究人员通过所有源代码,发现脚本的操作过程如下:
1.在AppDataRoaming目录中创建新文件夹,使用新注册表项隐藏。
2.在文件夹中复制合法的Windows应用程序wscript.exe,并随机命名。
3.在文件夹中复制自身,并创建一个快捷方式,命名为“Start”,放置到“Startup”文件夹中,这样通过Windows开始菜单即可访问。
4.为Start快捷方式配置一个虚假的文件夹图标,使得用户认为它是一个文件夹而非文件。
5.脚本的其余代码通过访问Microsoft、Google或者Bing检查网络是否连接。
6.向urchintelemetry[.]com发送遥测数据,从95.153.31[.]22中下载和运行加密文件。
7.加密文件是一个JS脚本,能够将chrome、Firefox和IE主页设置为login.hhtxnet[.]com,将用户重定向至网址:portalne[.]ws。
8.最后一个脚本使用Windows管理规范(Windows Management Instrumentation)检查与安全相关的软件。
9.如果它如果如果找到与安全相关的软件,它会使用一个虚假的错误信息终止程序。
10.如果用户在任务管理器中发现了wscript.exe程序并试图终止,脚本会执行CLI命令立即关闭电脑。
11.当用户重启电脑,因为"Start"脚本在开机启动菜单中,该恶意软件重新开始上述所有的操作。
Kahu Security安全专家表示,如果你想要终止该脚本的操作,可以通过重启安全模式(或者登陆其他账户)移除启动链接和文件夹。
长按二维码,关注“代码卫士”
您的专属代码体检专家