Defender檢測(cè)不到？微軟：大量Windows設(shè)備遭“Nodersok”感染

　　微軟官方近日發(fā)布報(bào)告稱，目前全球有成千上萬(wàn)的Windows設(shè)備都在被一種名為“Nodersok”的新型惡意軟件感染。值得一提的是，思科官方也在新近發(fā)布的一份報(bào)告中談及了此事，并將該惡意軟件稱為“Divergent”！這究竟是怎么回事呢？讓我們來(lái)了解一下。

　　按照微軟官方的說(shuō)法，Nodersok惡意軟件最初在今年夏天被發(fā)現(xiàn)，它通過(guò)惡意廣告進(jìn)行分發(fā)，強(qiáng)制將HTA（HTML應(yīng)用程序）文件下載到用戶計(jì)算機(jī)上，一旦運(yùn)行了這個(gè)軟件，用戶的電腦就會(huì)進(jìn)行一個(gè)涉及Excel，JavaScript和PowerShell腳本的多階段感染過(guò)程，該進(jìn)程最終下載并安裝Nodersok惡意軟件。

　　據(jù)悉，Nodersok惡意軟件本身具有多個(gè)組件，每個(gè)組件都有其自己的角色。有一個(gè)PowerShell模塊試圖禁用Windows Defender和Windows Update，還有一個(gè)用于將惡意軟件的權(quán)限提升到SYSTEM級(jí)別的組件。

　　但其中也有兩個(gè)被認(rèn)為是合法的應(yīng)用組件，即WinDivert和Node.js。第一個(gè)是用于捕獲網(wǎng)絡(luò)數(shù)據(jù)包并與之交互的應(yīng)用程序，第二個(gè)是用于在Web服務(wù)器上運(yùn)行JavaScript的著名開(kāi)發(fā)人員工具。根據(jù)微軟和思科的報(bào)告，該惡意軟件使用這兩個(gè)合法應(yīng)用組件在受感染的主機(jī)上啟動(dòng)SOCKS代理。但是，這里有一個(gè)分歧，微軟聲稱該惡意軟件將受感染的主機(jī)轉(zhuǎn)變?yōu)榇�理，以中繼惡意流量。思科表示，這些代理用于執(zhí)行點(diǎn)擊欺詐。

　　為了防止被感染，建議大家不要運(yùn)行他們?cè)谟?jì)算機(jī)上找到的任何HTA文件，尤其是在不知道文件確切來(lái)源的情況下。根據(jù)微軟的遙測(cè)技術(shù)，Nodersok已經(jīng)在過(guò)去幾周成功感染了數(shù)千臺(tái)機(jī)器！此外，微軟方面還透露，大多數(shù)感染于本月發(fā)生，主要在美國(guó)和歐盟地區(qū)傳播。