Вредоносная программа Nodersok заразила тысячи компьютеров на базе Windows

Вторник, 01 Октябрь 2019 07:16
Вредоносная программа Nodersok заразила тысячи компьютеров на базе Windows

По сообщениям сетевых источников, тысячи работающих под управлением Windows компьютеров оказались заражены новым видом вредоносного ПО, которое осуществляет загрузку и установку копии инфраструктуры Node.js, преобразуя зараженные системы в прокси-серверы, используемые для проведения мошеннических операций.

Вредоносные программы, названные Nodersok в отчете Microsoft и Divergent в отчете Cisco Talos, были обнаружены летом этого года. Они распространялись с помощью вредоносной рекламы, которая использовалась для принудительной загрузки файлов HTML Application на компьютеры. Пользователи, запустившие эти файлы на своих ПК, давали старт многоэтапному процессу заражения с применением сценариев Excel, JavaScript и PowerShell, что в конечном итоге приводило к загрузке и установке вредоносного ПО Nodersok.

Сама вредоносная программа имеет в составе несколько компонентов, предназначенных для выполнения разных целей. К примеру, модуль PowerShell используется для отключения Центра обновлений и стандартной защиты Windows. Кроме того, есть модуль, используемый для повышения привилегий вредоноса в системе. Однако в составе имеются и законные приложения: WinDivert и Node.js. Первый инструмент используется для захвата и взаимодействия с сетевыми пакетами, а второй позволяет запускать JavaScript на веб-серверах.

В отчетах Microsoft и Cisco говорится о том, что вредоносное ПО использует два легитимных приложения для запуска прокси-сервера на зараженных машинах. По данным Microsoft, вредоносное ПО превращает зараженные узлы в прокси-серверы для передачи вредоносного трафика. В отчете Cisco говорится, что прокси-серверы используются для совершения мошеннических действий.

Чтобы предотвратить заражение, специалисты рекомендуют не запускать файлы HTML Application, обнаруженные на ПК, особенно, если их происхождение неизвестно. В любом случае, файлы, которые неожиданно загружаются с веб-страниц, всегда являются плохим признаком, и им нельзя доверять, независимо от расширения. Об этом сообщает reg-vesti.in.ua со ссылкой на СМИ.



Источник: “http://newsmir.info/1824686”

Последние публикации

Блоги