• 發布單位:TWCERT/CC
• 更新日期:2019-03-24
• 點閱次數:301

●重點摘要： 1. 資安專家表示此惡意軟體在 2014 就已存在，但最新版的行為則更為侵略性。 2. 通常來自釣魚郵件的附件，並透過 Windows Script Host 執行腳本。 3. 開啟其中程式碼一般人只會看到隨機混雜的字串，而無法看出其中行為邏輯，如改變系統底層設定。 4. 資安專家已研析出以下行為步驟 1)在 AppDataRoaming 目錄中建立一個新的資料夾，並使用新的 registry key。 2)複製合法的 Windows wscript.exe 應用程式到該資料夾，並以隨機方式重新命名。 3)複製自身到該資料夾，並建立自身的捷徑，命名為 "Start"，放置到 "啟動"(Startup) 資料夾。 4)將"Start"捷徑 icon 改為資料夾圖示，以假扮成資料夾的樣子欺騙使用者。 5)腳本程式碼的其餘部分為檢查網際網路的連線，以嘗試存取 Microsoft、Google 或 Bing等。 6)將 telemetry data 傳送至 urchintelemetry[.]com 並從 95[.]153[.]31[.]22 下載執行加密檔案。 7)該加密檔案為另一個 JS 腳本檔案用來設定 Chrome、Firefox 和 IE 等瀏覽器的首頁為login[.]hhtxnet[.]com，這會將使用者重新導向至 portalne[.]ws 8)最後一個腳本使用WMI（Windows Management Instrumentation），以檢測相關防護軟體。 9)若檢測相關防護軟體，即以假的 error 訊息來中止執行。 10)若使用者在工作管理員發現該惡意進程 wscript.exe，並嘗試中止，該腳本會執行一個 CLI 指令來即時關閉電腦。 11)而因為"Start"捷徑，已存在"啟動"(Startup) 資料夾，故當使用者重啟電腦時，該 JS 惡意軟體隨即再次重新啟動。 5. 資安專家表示，若使用者不幸感染，可以在安全模式下移除。

參考連結：

http://news.softpedia.com/news/new-javascript-malware-shuts-down-your-pc-if-you-terminate-its-process-509097.shtml