JsOutProx
网络安全专家已经识别出一种新的损坏的脚本,该脚本以伪装成文档的形式广泛传播。通常,这些伪造文档倾向于使用有效的文件扩展名,例如“ .RTF”或“ .DOCX”,但有问题的植入物以“ .JS”文件形式到达。该文件包含一段由10,000行组成的JavaScript代码,而所有这些代码似乎都是毫无意义的-这是因为其作者使用了多层混淆技术,这使得对Java进行反向工程非常困难且耗时混淆并揭示不安全植入物的真实内容。
对受侵害的JavaScript代码的分析揭示了一些有趣的细节,例如对它进行编程以与位于挪威奥斯陆的控制服务器进行通信的事实。此外,植入程序的作者(称为JsOutProx)已经特别注意实施反分析和代码混淆技术,这使得解密和分析损坏的脚本的行为非常困难。
受损的JavaScript植入程序支持各种各样的命令和插件
尽管如此,他们的努力还不足以阻止恶意软件研究人员,而且网络安全专家已经能够观察到JsOutProx的全部功能。初始化后,JsOutProx会将其文件拖放到%APPDATA%和%TEMP%文件夹中,然后创建一个新的注册表项,该注册表项命令系统在启动时启动这些文件。启动后,可以通过控制服务器发送的远程命令来操作JsOutProx。以目前的形式,植入物能够完成以下任务:
- 重新启动或自行更新。
- 终止自身并删除其文件。
- 控制受感染的计算机以重新启动或关闭。
- 执行一个JavaScript代码。
- 执行一个Visual Basic代码。
- 睡眠指定的时间。
- 加载“ .NET”动态链接库。
除了支持这些基本命令之外,还可以通过安装定制开发的插件来增强JsOutProx的功能:
- 进程插件 –使操作员可以终止进程或运行新进程。
- DNS插件 –可以修改受感染机器的DNS配置。
- 令牌插件 –用于收集“ Symantec VIP一次性密码”,该密码通常用于企业的多因素身份验证。
- Outlook插件 –收集帐户详细信息,联系人和电子邮件。
- 提示插件 –在受感染的设备上显示自定义消息。
JsOutProx似乎是经验丰富的恶意软件开发人员的产品,并且高级持久威胁(APT)组可能会落后于其开发。但是,尚未将显着名称链接到此操作。最新版本的防病毒引擎应该能够轻松检测并删除JsOutProx植入物。
