JsOutProx
網絡安全專家發現了一個新的損壞的腳本,該腳本正在偽裝成文檔散播。通常,這些偽造文檔傾向於使用有效的文件擴展名,例如“ .RTF”或“ .DOCX”,但有問題的植入物以“ .JS”文件形式到達。該文件包含一段由10,000多個行組成的JavaScript代碼,而所有這些代碼似乎都沒有意義-這是因為其作者使用了多層混淆技術,這使得對JavaScript進行反向工程非常困難且耗時。混淆並揭示不安全植入物的真實內容。
對受侵害的JavaScript代碼的分析揭示了一些有趣的細節,例如對它進行編程以與位於挪威奧斯陸的控制服務器進行通信的事實。此外,植入程序的作者(稱為JsOutProx)已經特別注意實施反分析和代碼混淆技術,這使得解密和分析損壞的腳本的行為非常困難。
受損的JavaScript植入程序支持各種各樣的命令和插件
儘管如此,他們的努力還不足以阻止惡意軟件研究人員,而且網絡安全專家已經能夠觀察到JsOutProx的全部功能。初始化後,JsOutProx會將其文件拖放到%APPDATA%和%TEMP%文件夾中,然後創建一個新的註冊表項,該註冊表項命令系統在啟動時啟動這些文件。啟動後,可以通過從控制服務器發送的遠程命令來操作JsOutProx。以目前的形式,植入物能夠完成以下任務:
- 重新啟動或自行更新。
- 終止自身並刪除其文件。
- 控制受感染的計算機以重新啟動或關閉。
- 執行一個JavaScript代碼。
- 執行一個Visual Basic代碼。
- 睡眠指定的時間。
- 加載“ .NET”動態鏈接庫。
除了支持這些基本命令外,還可以通過安裝定制開發的插件來增強JsOutProx的功能:
- 進程插件 –使操作員可以終止進程或運行新進程。
- DNS插件 –可以修改受感染機器的DNS配置。
- 令牌插件 –用於收集“ Symantec VIP一次性密碼”,該密碼通常用於企業的多因素身份驗證。
- Outlook插件 –收集帳戶詳細信息,聯繫人和電子郵件。
- 提示插件 –在受感染的設備上顯示自定義消息。
JsOutProx似乎是經驗豐富的惡意軟件開發人員的產品,並且高級持久威脅(APT)組可能會落後於其開發。但是,尚未將顯著名稱鏈接到此操作。最新版本的防病毒引擎應該能夠輕鬆檢測並刪除JsOutProx植入物。
