國家計算機病毒應(yīng)急處理中心通過對互聯(lián)網(wǎng)的監(jiān)測����,發(fā)現(xiàn)新型JSNEMUCOD后門間諜病毒,該病毒收集被感染計算機信息、刪除系統(tǒng)中的文件�����。
JS/NEMUCOD病毒最早出現(xiàn)于2016年����,起初Nemucod 木馬程序是一個將自己偽裝成安全文件的惡意軟件。這些文件可以從不安全的網(wǎng)頁下載�,或通過垃圾郵件附件傳播,這些具有欺騙性的郵件附件含有 JavaScript 代碼�����,其會下載及運行 Nemucod 病毒的可執(zhí)行文件�����。Nemucod自然與勒索病毒也存在關(guān)系����,例如知名的Locky勒索病毒就曾利用JS/Nemucod進行下載和傳播。
近期����,研究人員發(fā)現(xiàn)本次樣本的相關(guān)信息出現(xiàn)在Pastebin上�,Pastebin是一個用戶存儲純文本的web應(yīng)用�����,近年來��,黑客常常利用此應(yīng)用放置后門腳本�,由于它很方便下載和讀取內(nèi)容,只需要通過固定的url就可以實現(xiàn)下載和讀取相應(yīng)內(nèi)容���。
之前較為流行的利用powershell進行無文件挖礦病毒就利用了這個特性���,只需要將腳本放到此網(wǎng)站,然后通過powershell的命令通過固定url遠程下載到內(nèi)存執(zhí)行即可實現(xiàn)其惡意行為����。而這些命令通常是利用弱口令或MS17-010等漏洞在內(nèi)網(wǎng)中傳播����,所以加強計算機的安全管理顯得尤為重要。同樣也不排除未來此病毒通過powershell的方式進一步傳播���。
針對該惡意程序所造成的危害���,建議用戶及時給電腦打補丁���,修復漏洞,關(guān)閉不必要的端口����。同時,給電腦安裝安全防護軟件���,以免使電腦受到該惡意程序的危害����。