国家计算机病毒应急处理中心通过对互联网的监测,发现新型JSNEMUCOD后门间谍病毒,该病毒收集被感染计算机信息、删除系统中的文件。
JS/NEMUCOD病毒最早出现于2016年,起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载,或通过垃圾邮件附件传播,这些具有欺骗性的邮件附件含有 JavaScript 代码,其会下载及运行 Nemucod 病毒的可执行文件。Nemucod自然与勒索病毒也存在关系,例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。
近期,研究人员发现本次样本的相关信息出现在Pastebin上,Pastebin是一个用户存储纯文本的web应用,近年来,黑客常常利用此应用放置后门脚本,由于它很方便下载和读取内容,只需要通过固定的url就可以实现下载和读取相应内容。
之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性,只需要将脚本放到此网站,然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播,所以加强计算机的安全管理显得尤为重要。同样也不排除未来此病毒通过powershell的方式进一步传播。
针对该恶意程序所造成的危害,建议用户及时给电脑打补丁,修复漏洞,关闭不必要的端口。同时,给电脑安装安全防护软件,以免使电脑受到该恶意程序的危害。