一波未平一波又起:新型恶意软件已感染数千Windows系统计
发布时间:2019-11-02 12:42:52点击:4993

几天前,当视窗系统的更新演变成一场破坏风暴后,视窗系统这些天再次成为焦点,因为微软塔罗斯(思科塔罗斯,网络安全团队)同时发现了一种针对windwos系统的新型恶意软件。

nodersok/发散攻击图(照片来源:黑客新闻)

恶意软件目前有两个名字,一个是微软的“nodersok”,另一个是思科的talos的“differential”。像大多数恶意软件一样,这种恶意软件也通过网络钓鱼连接传播。然而,与过去不同的是,这种恶意软件受到两个完全正常的程序的攻击,即node.exe程序和windivert程序,因此它可以避免被视窗defender扫描。

nodersok/different首先尝试禁用windows defender和windows update的防病毒功能,然后利用漏洞增强权限提升,然后连接到云服务下载node.exe和windivert。通过这两个过程,恶意软件可以被系统认为是“安全的”,过滤掉并篡改发送的网络数据包,最终将被感染的计算机变成代理。

这种使用常规软件程序达到恶意目的的方法被称为“异地生存技术”,这种攻击很难检测到。

来源:微软

微软表示,这种恶意软件的目的是继续向其他国家发送恶意流量。思科talos表示,它是为点击欺诈而设立的。

来源:微软

目前,在欧洲和美国,数以千计的计算机已经感染了这种恶意软件,其中大多数是家用个人设备。思科talos认为,一些人仍在发布这种恶意软件,因为他们发现该恶意软件有几种不同版本的运营商。微软呼吁windows用户避免在中运行文件。hta格式目前。