近日,亚信安全截获新型脚本病毒JS/NEMUCOD,该病毒通过混淆以及加密的方式躲避杀毒软件检测,其通过网络共享磁盘及可移动磁盘进行传播。JS/NEMUCOD脚本病毒还具有收集被感染计算机信息、删除系统中的文件等恶意行为。亚信安全将其命名检测为TrojanSpy.JS.NEMUCOD.BONING。
该样本是一个经过混淆的JS脚本,原始落地样本文件(shell.jse)内容如下:
经过解密和混淆后的样本如下:
该样本主要的恶意行为如下:
<1>它会链接如下网址发送和接收数据。
<2>它会收集系统如下数据:
当前系统进程列表 | 计算机用户名 |
---|---|
计算机域名 | 计算机系统版本 |
<3>:该病毒具有传播功能,如果它在自己的C&C服务器上下载文件失败,其将在网络共享和可移动驱动器中查找具有以下扩展名的文件,删除该文件,并使用自身的副本替换已删除的文件:
.doc | .xls | .rtf | |
---|---|---|---|
.pub | .odt | .ods | .odp |
.odc | .odb | .txt | .odm |
<4>它具有反调试能力,如果发现系统上有防病毒软件、调试工具以及具体字符串时,将会自动终止自身运行。
内存中有如下进程:
anti – virus.EXE | lordPE.exe | B.exe | iexplore.exe | Proxifier.exe |
---|---|---|---|---|
ctfmon.exe | AgentSimulator.exe | VzService.exe | VBoxTray.exe | gemu – ga.exe |
BennyDB.exe | windanr.exe |
系统中存在有如下调试工具:
Procmon | Wireshark | ProcessHacker | vmtoolsd | VBoxService |
---|---|---|---|---|
ImmunityDebugger | BehaviorDumper | PROCMON | procexp | tcpdump |
FrzState2k | DFLocker64 | vmware | LOGService.exe |
系统环境中存在如下字符串:
VmRemoteGuest | SystemIT|admin | WIN7 – TRAPS | Emily | milozs |
---|---|---|---|---|
Johnson | HAPUBWS | Peter Wilson | Hong Lee |
<5>执行后会删除自身。
1、不要点击来源不明的邮件以及附件;
2、不要点击来源不明的邮件中包含的链接;
3、采用高强度的密码,避免使用弱口令密码,并定期更换密码;
4、打开系统自动更新,并检测更新进行安装;
5、尽量关闭不必要的文件共享;
6、请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。
JS/NEMUCOD病毒最早出现于2016年,起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载,或通过垃圾邮件附件传播,这些具有欺骗性的邮件附件含有 JavaScript 代码,次代码会下载及运行 Nemucod 病毒的可执行文件。在勒索病毒“漫天飞舞”的时代,Nemucod自然与勒索病毒也存在关系,例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。
近期,亚信安全发现本次样本的相关信息(或者类似样本)出现在Pastebin上,Pastebin是一个用户存储纯文本的web应用,近年来,黑客常常利用此应用放置后门脚本,由于它很方便下载和读取内容,只需要通过固定的url就可以实现下载和读取相应内容。
之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性,只需要将脚本放到此网站,然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播,所以加强计算机的安全管理显得尤为重要。同样地我们也不排除未来此病毒通过powershell的方式进一步传播。
MD5
样本名称 | MD5 | 亚信安全检测名 |
---|---|---|
Shell.jse | e6adc360a1c095f8ed1e53e5c90d467461d24578 | TrojanSpy.JS.NEMUCOD.BONING |
URL
https://185[.]159[.]82[.]15/hollyhole/c644[.]php
*本文作者:亚信安全,转载请注明来自FreeBuf.COM