新型JavaScript恶意软件曝光:你关我的进程,我关你的电脑
新型JavaScript恶意软件会对用户浏览器的首页进行覆盖。
E安全10月10日讯 来自Kahu Security的研究人员们已经发现了一种全新恶意软件变种,其以JavaScript开发而成,不仅能够劫持受害者的浏览器主页,甚至可以在检测到尝试关闭其进程的指令时关闭您的计算机。
此恶意软件的各类变种自2014年就已经开始出现,但其攻击欲望与咄咄逼人之势显然无法与此次曝光的最新版本相提并论。
该恶意软件会通过垃圾邮件以恶意文件附件的形式登陆用户PC设备,而且尽管其属于JavaScript文件,但却并非执行于浏览器之内,而是经由Windows Script Host——即Windows的内置JavaScript执行器——实现运行。
高度混淆之下掩藏的恶意活动
着眼于该恶意软件的源代码,普通用户只会看到一大堆被随机混杂起来的字符,别无其它。
Kahu Security的研究人员们表示,该脚本利用混淆机制对其真正的有效载荷进行了隐藏——而这部分有效载荷会经由一系列操作改变底层操作系统设置。除了混淆之外,该脚本还会运用到了编码字符、正则表达式搜索、正则表达式替换、罕见的base转换(该脚本配合base33)以及条件语句等模糊处理手段。
经过不懈努力,研究人员最终还是摸清了源代码的实际含义,即这套脚本的具体恶意行为流程:
1)在AppDataRoaming目录之下创建一个新的文件夹,并利用新的注册表项将其隐藏起来。
2)将合法的Windows wscript.exe应用复制到此文件夹当中,并为其赋予一个随机名称。
3)将自身复制到此文件夹当中,而后为自身创建一条快捷方式,其名称为“Start”并被放置在“Startup”文件夹内,亦可通过Windows开始菜单进行访问。
4)为该Start快捷方式分配一个伪造的文件夹图标,从而让用户误以为其属于一个文件夹而非文件。
5)脚本代码的剩余部分会尝试访问微软、谷歌或者必应等网站,从而检查互联网连接情况。
6)将遥测数据发送至urchintelemetry[.]com,并从95.153.31[.]22处下载并运行一个加密文件。
7)此加密文件属于另一个JS脚本,其负责将Chrome、火狐以及IE等浏览器的首页设置为login.hhtxnet[.]com。截至发稿之时,此首页会将用户重新定向至另一网站:portalne[.]ws。
8)这后一套脚本利用WMI(即Windows管理规范)以检查各与安全性相关的软件。
9)如果该脚本发现与安全性相关的软件,则会利用伪造的错误信息终止其执行。
10)如果用户在任务管理器当中找到wscript.exe进程并尝试将其关闭,该脚本会立即执行一条CLI命令以关闭用户的计算机。
11)当用户重启自己的PC设备时,由于该“Start”脚本仍存在于Startup菜单当中,因此恶意JS软件会在启动完成后继续保持运行。
“如果大家希望在自己的计算机上关闭这套脚本,则可直接以安全模式进行启动(或者使用其它账户登录),而后移除该启动链接与对应文件夹,”Kahu Security安全专家Darryl写道。“如果大家希望在该脚本运行过程中对其进行分析,则可对您的安全工具重新命名,即可确保不被其发现。”
Startup文件夹中的“Start”脚本
E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。