真品网

你关我的进程，我关你的电脑！

□ 时间：2016-10-11 □ 来源： 红黑联盟网

    来自Kahu Security的研究人员们已经发现了一种全新恶意软件变种，其以JavaScript开发而成，不仅能够劫持受害者的浏览器主页，甚至可以在检测到尝试关闭其进程的指令时关闭您的计算机。

    此恶意软件的各类变种自2014年就已经开始出现，但其攻击欲望与咄咄逼人之势显然无法与此次曝光的最新版本相提并论。
该恶意软件会通过垃圾邮件以恶意文件附件的形式登陆用户PC设备，而且尽管其属于JavaScript文件，但却并非执行于浏览器之内，而是经由Windows Script Host——即Windows的内置JavaScript执行器——实现运行。

    ★ 高度混淆之下掩藏的恶意活动

    着眼于该恶意软件的源代码，普通用户只会看到一大堆被随机混杂起来的字符，别无其它。

    Kahu Security的研究人员们表示，该脚本利用混淆机制对其真正的有效载荷进行了隐藏——而这部分有效载荷会经由一系列操作改变底层操作系统设置。除了混淆之外，该脚本还会运用到了编码字符、正则表达式搜索、正则表达式替换、罕见的base转换(该脚本配合base33)以及条件语句等模糊处理手段。

    经过不懈努力，研究人员最终还是摸清了源代码的实际含义，即这套脚本的具体恶意行为流程：

    1)在AppDataRoaming目录之下创建一个新的文件夹，并利用新的注册表项将其隐藏起来。

    2)将合法的Windows wscript.exe应用复制到此文件夹当中，并为其赋予一个随机名称。

    3)将自身复制到此文件夹当中，而后为自身创建一条快捷方式，其名称为“Start”并被放置在“Startup”文件夹内，亦可通过Windows开始菜单进行访问。

    4)为该Start快捷方式分配一个伪造的文件夹图标，从而让用户误以为其属于一个文件夹而非文件。

    5)脚本代码的剩余部分会尝试访问微软、谷歌或者必应等网站，从而检查互联网连接情况。

    6)将遥测数据发送至urchintelemetry[.]com，并从95.153.31[.]22处下载并运行一

资讯作者： 源信息发布时间： 2016/10/11 编辑:金阳