هزاران رایانه ویندوزی به بدافزار آلوده شدند
به گزارش وبلاگ تجهیزات شبکه به نقل از معاونت آنالیز مرکز افتا، هزاران رایانه ویندوزی در سراسر دنیا به نوعی بدافزار آلوده شده اند که نسخه ای از Node.js را بارگیری و نصب می نماید تا سیستم های آلوده را به پراکسی تبدیل نموده و از آن ها سوءاستفاده کند.
این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نام گذاری شده است و به وسیله آگهی های مخرب که به اجبار فایل های HTA (برنامه HTML) را روی رایانه های کاربران بارگیری می نماید، توزیع می گردد.
کاربرانی که فایل های HTA مخرب را اجرا نمایند، یک فرآیند آلودگی چند مرحله ای با اسکریپت های اکسل، جاوااسکریپت و PowerShell در رایانه آن ها شروع می گردد که در نهایت منجر به نصب بدافزار Nodersok می گردد. این بدافزار دارای چندین مؤلفه است که هر کدام نقش خاص خود را ایفا می نمایند.
ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال می نماید. ماژول دیگر بدافزار، سطح دسترسی آن را به سطح SYSTEM ارتقا می دهد. همچنین دو ماژول دیگر WinDivert و Node.js در این بدافزار وجود دارد که برنامه های قانونی هستند. مورد اول برنامه ای برای دریافت و تعامل با بسته های شبکه و ماژول دوم یک ابزار شناخته شده برای اجرای جاوااسکریپت روی سرورهای وب است.
طبق گزارش های مایکروسافت و سیسکو، بدافزار از این دو برنامه قانونی برای شروع پراکسی SOCKS روی میزبان های آلوده استفاده می نماید. مایکروسافت ادعا نموده که بدافزار میزبان های آلوده را به پراکسی تبدیل نموده تا بتواند ترافیک مخرب را منتقل کند. از سوی دیگر ، سیسکو گزارش نموده که از این پراکسی ها برای سرقت کلیک استفاده شده است.
از آنجایی که مایکروسافت این بدافزار را گزارش نموده است، Windows Defender آن را شناسایی خواهد نمود.
مرکز افتا تاکید نموده که برای جلوگیری از آلودگی، بهترین توصیه این است که کاربران هیچ فایل HTA را اجرا ننمایند، به خصوص فایل هایی که منابع آن ها نامعتبر است. طبق آمارهای مایکروسافت، Nodersok توانسته است طی چند هفته گذشته هزاران سیستم را آلوده کند.
منبع: خبرگزاری مهر