Головна » Технології / Новини ІТ » Шкідлива програма Nodersok заразила тисячі комп’ютерів з Windows

Тисячі комп’ютерів на Windows по всьому світу були заражені новим видом шкідливого ПЗ, яке завантажує і встановлює копію інфраструктури Node.js для перетворення заражених систем в проксі-сервери і здійснення шахрайського кліка. Шкідливі програми, названі Nodersok (в звіті Microsoft) і Divergent (в звіті Cisco Talos), вперше були виявлені влітку. Їх поширювали за допомогою шкідливої ​​реклами, яка примусово завантажувала файли HTA (додатки HTML) на комп’ютери користувачів. Користувачі, які знайшли і запустили ці файли HTA, запустили багатоетапний процес зараження з використанням сценаріїв Excel, JavaScript і PowerShell, які в результаті завантажили і встановили шкідливе ПЗ Nodersok.



Шкідлива програма має кілька компонентів, кожен з яких має свою роль. Є модуль PowerShell, який намагається відключити Windows Defender і служби Windows Update, і є компонент для підвищення дозволів шкідливого ПЗ до рівня SYSTEM. Але є також два компоненти, які є законними додатками, а саме: WinDivert і Node.js. Перший – це додаток для захоплення і взаємодії з мережевими пакетами, а другий – відомий інструмент розробника для запуску JavaScript на веб-серверах.

Шкідлива програма Nodersok заразила тисячі комп'ютерів з Windows

Nodersok: що з’ясували Microsoft і Cisco

Відповідно до звітів Microsoft і Cisco, шкідлива програма використовує два законних додатки для запуску проксі-сервера SOCKS на заражених хостах. Але ось де звіти розходяться. Microsoft стверджує, що шкідлива програма перетворює заражені вузли в проксі-сервери для передачі шкідливого трафіку. Cisco, з іншого боку, говорить, що ці проксі використовуються для шахрайського кліка.

Проте, це однаково шкідливі програми. Творці Nodersok можуть в будь-який момент розгорнути інші модулі для виконання додаткових завдань або навіть розгорнути вторинні шкідливі програми, такі як вимагачі або банківські трояни. Оскільки Microsoft виявила шкідливе ПЗ, Windows Defender також зможе його виявити.

Щоб запобігти зараженню, найкраща порада – це не запускати файли HTA, знайдені на своїх комп’ютерах, особливо якщо ви не знаєте точного походження файлів. Файли, завантажені з веб-сторінки абсолютно несподівано, завжди є поганою ознакою, і їм не можна довіряти, незалежно від розширення.

За даними Microsoft, Nodersok вже вдалося заразити тисячі комп’ютерів за останні кілька тижнів. Компанія заявила, що більшість випадків зараження відбулася цього місяця і вразила користувачів з США та ЄС. Однак складність роботи з Nodersok полягає в тому, що він використовує законне програмне забезпечення і корисне навантаження в пам’яті (виконання без файлів). Ці два методи значно ускладнюють виявлення ПЗ для класичних антивірусних програм. Проте, Microsoft заявляє, що «постінфекційна поведінка Nodersok» є видимим слідом, який явно виділяється для всіх, хто знає, де шукати. Тобто є шанс, що дослідники безпеки виявлять його.

Поділитися:

Оцініть чи сподобалась Вам новина :)

1 зірка2 зірки3 зірки4 зірки5 зірок [6 оцінка(и), середня: 5,00 з 5]

Новини партнерів

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

  1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
  2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
  3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
  4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
  5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
  6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
  7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.

E-mail розсилка Pingvin Pro

Якщо Ви хочете отримувати статті по e-mail, пропонуємо підписатися на нашу електронну розсилку. Просто введіть свій e-mail нижче та натисніть кнопку «Підписатися».

Голосуємо за найкращий смартфон Xiaomi 2019 року

Переглянути результати

Схожі новини

Новини ІТ

Додаток Your Phone отримає функцію копіювання контенту

Популярний додаток Microsoft «Ваш телефон» (Your Phone) для Windows 10, незабаром отримає ще одну функцію, яка може стати в нагоді користувачам. Останнім часом, нова функціональність програми була спрямована на обмін даними між комп’ютерами і телефонами. Все почалося з обміну фотографіями, але в подальшому переросло у відображення самого телефону на комп’ютері. Далі буде тільки більше корисних можливостей. […]


Ігри

Shadow of the Tomb Raider – Definitive Edition: враження від гри на macOS

Shadow of the Tomb Raider є третьою пригодницькою екшн грою після перезапуску ще у 2013 році. Тоді була велика потреба повністю «змінити» гру, щоб вона стала кращою. На мою думку, розробникам це вдалося і у 2013 році виходить дуже крута гра Tomb Raider (2013), в якій розповідається про те, як все починалося для відомої розкрадачки […]


Новини партнерів

Улюблене 0
Відкрити сторінку улюбленого Продовжити перегляд