JSNEMUCOD新型后门间谍病毒被发现

2019年8月19日江民公司报告,近日发现新型JSNEMUCOD后门间谍病毒，该病毒收集被感染计算机信息、删除系统中的文件。它最早出现于2016年，起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载，或通过垃圾邮件附件传播，这些具有欺骗性的邮件附件含有 JavaScript 代码，其会下载及运行 Nemucod 病毒的可执行文件。Nemucod与勒索病毒也存在关系，例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。近期研究人员发现本次样本的相关信息出现在Pastebin上，Pastebin是一个用户存储纯文本的web应用，近年来黑客常常利用此应用放置后门脚本，由于它很方便下载和读取内容，只需要通过固定的url就可以实现下载和读取相应内容。之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性，只需要将脚本放到此网站，然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播，所以加强计算机的安全管理显得尤为重要。同样也不排除未来此病毒通过powershell的方式进一步传播。