伪装成NodeJS的勒索病毒,勒索呼伦贝尔的空气

已于 2024-02-11 12:28:24 修改
阅读量1.2k 收藏 18
点赞数 26
分类专栏: 勒索病毒专题报告 文章标签: 勒索病毒 网络安全 安全威胁分析 系统安全
于 2024-02-11 12:28:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pandazhengzheng/article/details/136095281
版权

前言

前几天在微步上看到一个有意思的贴子,有人中了一个伪装成NodeJS程序的勒索病毒,然后把样本上传到了微步,并寻找帮助,如下:

这个样本目前VT上还没有,但是从当时的检测结果是显示0/25,笔者对新出现的一些恶意软件都会比较好奇,这究竟是一款怎么样的勒索病毒?趁周未有空,跟大家一起简单分析研究一下。

勒索

首先从微步上下载到样本,运行之后,桌面上的一些快捷方式被修改加密了,如下:

修改后的快捷方式,内容如下:

最低0.47元/天 解锁文章
简介JS脚本病毒解密及相关分析方法
Youngs-RSR技术专栏
05-04 3534
0x00 相关背景:        在最近,发现通过邮件发送加密后的js脚本病毒比较猖獗,身边刚好有一个同事在接收到的邮件中,单击链接后发现中了敲诈勒索木马,基本是大多数的文件被加密了,严重危害了用户的信息安全。0x01 JS脚本解密:        起初看到加密后的js脚本,无从下手,只是知道其下载了相关的敲诈木马程序并运行了;最终通过百度查找js解密相关,国内已经有了相关的文章(1秒破解 js
Nodejs 第六十九章(杀毒)
qq1195566313的博客
04-29 1270
杀毒(Antivirus)是指一类计算机安全软件,旨在检测、阻止和清除计算机系统中的恶意软件,如病毒、蠕虫、木马、间谍软件和广告软件等。这些恶意软件可能会对计算机系统和用户数据造成损害,包括数据丢失、系统崩溃、个人信息泄露等。ClamAV(Clam AntiVirus)是一个开源的跨平台杀毒软件,它专注于检测和清除恶意软件,包括病毒、蠕虫、木马、恶意软件和其他恶意代码。clamscan.scanDir 这个方法windows用不了只能在linux用。然后把这两个文件里面的。安装 clamscan。
nodejs的病毒扫描功能和其他知识总结
m0_37996053的博客
04-30 926
关于扫毒代码实现展示 代码遇到的知识总结 一、nodejs中http,request,response使用总结 https://blog.csdn.net/qq_26239917/article/details/90214885 二、es6中同异步总结 三、fs和文件流总结 四、node-module报总结(文件) (loopback-component-storage) 五、git知识总结 六、...
微步在线威胁情报通报:WannaCry勒索蠕虫存在秘密开关
weixin_33890499的博客
09-01 753
近日,微步在线捕获到一款新型勒索软件用于对全球范围内的目标发起大范围的攻击,多家安全公司将该勒索软件命名为“WannaCry”。微步在线对该事件中收集到的样本进行了紧急的分析,发现攻击样本中存在一个开关:样本启动后会首先请求域名一个秘密开关域名(具体见附录IOC),请求失败后即开始执行加密,相反,请求成功后立即退出,不执行加密。根据微步在线的威胁分析平台...
JS病毒分析总结
4SecNet团队专栏
09-19 2738
记录一次 JS病毒分析过程中遇到的各类问题和JS的一些语法: 第一部分:这一部分主要就是说一下这个JS病毒的加解密的过程: 刚拿到病毒的时候,跑动态的时候,发现病毒不能直接运行,用notepad++打开之后,发现里边有加密过的数组(其实这一步也算不上加密,只不过是一个数字和ASCII码的转换),而且发现里边都是JS代码(刚拿到病毒样本的时候,病毒样本是.sct文件),大概扫了一眼,这个样本的主要任...
Arp病毒利用的Javascript技术
abc11111118的博客
12-29 167
本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁! 最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助! 现象: 打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,...
JAVASCRIPT 下载病毒
weixin_30820077的博客
10-13 700
<!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.0Transitional//EN"><HTML><HEAD><TITLE>中秋节日快乐</TITLE><METAhttp-equiv=Content-Typecontent="text/html;charset=gb2312">&lt...
网站被黑形式以及挂马病毒特征大全(附解决方案)
SEOer - 不二版本Eade的优快云专栏
04-13 3131
如果下面的列表不包含您需要的判断,请使用Yandex 的通用说明对受感染的站点进行杀毒。 JS/AppndIfra-A 此判断意味着该页面包含混淆的 JavaScript 代码(变量和函数的名称可能因每个特定脚本而异)。执行后,此代码会从远程资源下载恶意 JavaScript 代码。该恶意代码通常包含在 body 元素的 onLoad 属性中。 按照我们的说明从服务器中删除恶意代码。 导致 JS/ApndIfra-A 判定的恶意代码示例: JS/DwnLdr-HOO 此判断意味着该页面包
arp病毒利用的Javascript技术
hulefei29的专栏
02-03 827
本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁!最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助!现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软
病毒木马查杀实战第025篇:JS下载者脚本木马的分析与防御
热门推荐
Gleam的专栏
03-26 1万+
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经被自动分析系统拦截下来了)。而且这类的样本甚至还有愈演愈烈之势,很可能会长盛不衰。JS脚本木马之所以会如此泛滥,与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会
一例jse蠕虫的分析
好好学习,天天向上
10-21 4790
这是一例jse格式的蠕虫病毒,会隐藏系统中所有的doc、docx和rtf文件,创建同名的.jse文件,诱导用户点击执行,通过感染U盘和网络驱动器、光盘刻录临时文件夹、html文件进行传播。 使用JScript脚本编写,分析起来没有难度,但是其修改注册表的操作的还是很高明的。
解析JS木马的攻与防
风吹过,是那个夏天的依然
10-07 716
网站挂马如今已经成为黑客发起网络攻击的最主要方式之一,因此防范来自Web的安全威胁,显得格外重要,本文将介绍一些常见的JS挂马现象以及如何去应对。  木马一直是黑客的拿手技量。善于用木马的黑客,可以在原来的入侵基础之上达到更大的目的。如今,虽然木马的种类有很多。但其中IFRAME挂马比较早,相应的预防措施也比较多,其中用CSS配合JS脚本进行预防是主流方式。可这种预防方式也存在安全
网页脚本病毒理解与防护
qq_61141142的博客
09-21 2562
一、脚本病毒的背景知识介绍 脚本病毒是指利用.asp、.htm、.html、.vbs、.js类型的文件进行传播的基于VB Script和Java Script脚本语言并由Windows Scripting Host解释执行的这类病毒。 脚本语言的功能非常强大,它们利用Windows系统具有开放性的特点,通过调用一些现成的Windows对象和组件,可以直接对文件系统、注册表等进行控制。脚本病毒正是利用脚本语言的这些特点,通过ActiveX进行网页传播,通过OE的自动发送邮件功能进行邮件传
安全第一:保护你的 Node.js 应用免受常见攻击
最新发布
一名热衷于技术的全栈开发者,专注于前端与后端的全面技术探索。在这里,我将分享我在技术领域的学习与成长,助力更多开发者的进步。
12-05 548
通过本文的学习,你应该对保护 Node.js 应用的常见方法有了清晰的了解。安全是一个不断迭代的过程。建议你在开发中始终保持安全优先的理念,及时更新依赖库,完善代码质量,并定期进行安全审计。实践起来吧,构建一个更加安全的 Node.js 应用!
脚本命令类恶意代码——JavaScript混淆脚本分析方法
信息安全
09-26 1071
本文主要讲解JavaScript恶意脚本混淆常用语法,并根据语法关键点提取解混淆信息,以及运用动态调试处理混淆
node.js自动化检测_您受到攻击了吗? 检测针对Node.js应用程序的攻击
cuyi7076的博客
06-29 335
成绩单 当黑客试图闯入Web应用程序时,他们通常首先通过跟踪每个链接以查找所有有效路径来将其映射出来。 然后,他们尝试在输入字段中输入各种无效值,以查看该应用程序是否遭受任何众所周知的代码注入漏洞。 在本教程中,您将学习如何检测这些攻击。 一旦检测到它们,就可以关闭来自受攻击IP地址的访问,将其重定向到速度较慢的“ tar pit ”中,或执行其他操作以使其成为更难的...
遭了!JavaScript 代码被投毒了
IT界那些事儿
06-18 536
不知大家是否还记得两年前 Github 出现的一个名为 Evil.js 的项目,其号称专治 996 公司,实际就是给前端项目“。原型污染是一种很少被关注但潜在风险严重的安全漏洞,它影响基于原型的编程语言,例如 JavaScript。这种漏洞。
NEMUCOD病毒jse样本分析
好好学习,天天向上
12-08 2463
该病毒使用微软的JScript编写,能够直接运行在Windows操作系统之上,采用了加密和混淆手段对抗监测,可检测是否运行在虚拟机中和系统中是否存在分析工具,可感染可移动存储介质,主要功能为下载器。CC服务器为185.159.82.15,通过关联威胁情报,该样本为NEMUCOD家族样本,该病毒通过垃圾邮件传播。
普通人如何有效防范JavaScript自动脚本运行?
2302_79684980的博客
10-29 1463
JavaScript会在浏览器中自动运行脚本,如果不关闭。如果大家有经历过打开浏览器看新闻或者看电影会遇到恶意的跳页就是JavaScript的自动脚本运行引起!黑客可以利用JavaScript进行挖矿,还可以注入恶意语句,还可以用来XSS攻击,还可以盗取用户的cookie,导致用户个人敏感信息泄露。所有操作系统中浏览器的JavaScript脚本都是默认开启。(默认打开,点击关闭有效防御JavaScript的自动化脚本攻击。跟着我的操作能有效减少百分之五十以上的JavaScript攻击。
常见的Node.js攻击-恶意模块的危害
weixin_33851177的博客
06-05 1426
根据最近npm的一项安全性调查显示,77%的受访者对OSS/第三方代码的安全性表示担忧。本文将介绍关于这方面的内容,通过第三方代码引入应用程序的安全漏洞。具体来说,我们考虑被恶意引入的漏洞的场景。 我应该担心第三方模块吗? 你可能疑惑的第一件事是,是否需要担心恶意模块?程序员是一群非常友好的人,我们为什么要怀疑他们发布的模块呢?而且,如果npm上的每个包都是开源的,那么肯定有大量的眼睛来跟踪每一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

熊猫正正

请我喝杯咖啡吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值