Nodersok恶意软件正快速传播，难被Windows Defender检测

9月29日消息近日，微软和思科同时报告称，目前全球正有成千上万的Windows计算机被一种新型的恶意软件感染，在微软的报告中，将这种恶意软件称为Nodersok，在思科的报告中，将其称为Divergent，本文IT之家主要以Nodersok为名介绍。

Nodersok恶意软件最初在今年夏天被发现，它通过恶意广告进行分发，强制将HTA（HTML应用程序）文件下载到用户计算机上，一旦运行了这个软件，用户的电脑就会进行一个涉及Excel，JavaScript和PowerShell脚本的多阶段感染过程，该进程最终下载并安装Nodersok恶意软件。

根据微软的报告，Nodersok恶意软件本身具有多个组件，每个组件都有其自己的角色。有一个PowerShell模块试图禁用Windows Defender和Windows Update，还有一个用于将恶意软件的权限提升到SYSTEM级别的组件。

但其中也有两个被认为是合法的应用组件，即WinDivert和Node.js。第一个是用于捕获网络数据包并与之交互的应用程序，第二个是用于在Web服务器上运行JavaScript的著名开发人员工具。根据微软和思科的报告，该恶意软件使用这两个合法应用组件在受感染的主机上启动SOCKS代理。但是，这里有一个分歧，微软声称该恶意软件将受感染的主机转变为代理，以中继恶意流量。思科表示，这些代理用于执行点击欺诈。

为了防止被感染，建议大家不要运行他们在计算机上找到的任何HTA文件，尤其是在不知道文件确切来源的情况下。根据微软的遥测技术，Nodersok已经在过去几周成功感染了数千台机器。微软表示，大多数感染于本月发生，主要在美国和欧盟地区传播。

检测恶意软件组件运行快速报告

免责声明：本网信息来自于互联网，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。