能同時攻擊Windows、Mac���、Linux三大操作系統(tǒng)的惡意軟件出現(xiàn)了���。
雖然“全平臺通殺”病毒并不常見,但是安全公司Intezer的研究人員發(fā)現(xiàn)�,有家教育公司在上個月中了招。
更可怕的是��,他們通過分析域名和病毒庫發(fā)現(xiàn)��,這個惡意軟件已經(jīng)存在半年之久���,只是直到最近才被檢測到����。
他們把這個惡意軟件命名為SysJoker。
SysJoker核心部分是后綴名為“.ts”的TypeScript文件�,一旦感染就能被遠(yuǎn)程控制,方便黑客進(jìn)一步后續(xù)攻擊�����,比如植入勒索病毒����。
SysJoker用C++編寫,每個變體都是為目標(biāo)操作系統(tǒng)量身定制�,之前在57個不同反病毒檢測引擎上都未被檢測到。
那么SysJoker到底是如何通殺三大系統(tǒng)的�����?
SysJoker的感染步驟
SysJoker在三種操作系統(tǒng)中的行為類似�����,下面將以Windows為例展示SysJoker的行為��。
首先�,SysJoker會偽裝成系統(tǒng)更新。
一旦用戶將其誤認(rèn)為更新文件開始運(yùn)行����,它就會隨機(jī)睡眠90到120秒,然后在C:\ProgramData\SystemData\目錄下復(fù)制自己��,并改名為igfxCUIService.exe��,偽裝成英特爾圖形通用用戶界面服務(wù)�����。
接下來���,它使用Live off the Land(LOtL)命令收集有關(guān)機(jī)器的信息,包括MAC地址����、用戶名、物理媒體序列號和IP地址等�����。
SysJoker使用不同的臨時文本文件來記錄命令的結(jié)果。這些文本文件會立即刪除��,存儲在JSON對象中���,然后編碼并寫入名為microsoft_windows.dll的文件���。
此外�����,SysJoker收集之后軟件向注冊表添加鍵值HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run保證其持久存在���。
在上述每個步驟之間��,惡意軟件都會隨機(jī)睡眠����,防止被檢測到����。
接下來,SysJoker將開始建立遠(yuǎn)程控制(C2)通信����。
方式是通過下載從Google Drive托管的文本文件����,來生成遠(yuǎn)程控制���。
Google Drive鏈接指向一個名為“domain.txt”的文本文件�,這是以編碼形式保存的遠(yuǎn)程控制文件。
在Windows系統(tǒng)上����,一旦感染完成�,SysJoker就可以遠(yuǎn)程運(yùn)行包括“exe”、“cmd”����、“remove_reg”在內(nèi)的可執(zhí)行文件。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
