در سراسر دنیا هزاران کامپیوتر با سیستم عامل ویندوز به بد افزارها آلوده شدند که نسخه‌ای از Node.js را بارگیری و نصب می‌کند تا سیستم‌های آلوده را به پراکسی تبدیل کرده و از آن‌ها سوءاستفاده کند.

این بدافزار در گزارش مایکروسافت Nodersok و در گزارش سیسکو Divergent نام‌گذاری شده است و از طریق آگهی‌های مخرب که به اجبار فایل‌های HTA (برنامه HTML) را روی رایانه‌های کاربران بارگیری می‌کند، توزیع می‌شود.

کاربرانی که فایل‌های HTA مخرب را اجرا کنند، یک فرآیند آلودگی چند مرحله‌ای با اسکریپت‌های اکسل، جاوااسکریپت و PowerShell در رایانه آن‌ها آغاز می‌شود که در نهایت منجر به نصب بدافزار Nodersok می‌شود. بدافزار مذکور چندین مولفه دارد که هر کدام وظیفه خاص خود را دارد.

ماژول PowerShell در بدافزار، Windows Defender و Windows Update را غیرفعال می‌کند. ماژول دیگر بدافزار، سطح دسترسی آن را به سطح SYSTEM ارتقا می‌دهد. همچنین دو ماژول دیگر WinDivert و Node.js در این بدافزار وجود دارد که برنامه‌های قانونی هستند. مورد اول برنامه‌ای برای دریافت و تعامل با بسته‌های شبکه و ماژول دوم یک ابزار شناخته شده برای اجرای جاوااسکریپت روی سرورهای وب است.

طبق گزارش‌های مایکروسافت و سیسکو، بدافزار از این دو برنامه قانونی برای آغاز پراکسی SOCKS روی میزبان‌های آلوده استفاده می‌کند. مایکروسافت ادعا کرده که بدافزار میزبان‌های آلوده را به پراکسی تبدیل کرده تا بتواند ترافیک مخرب را منتقل کند. از سوی دیگر ، سیسکو گزارش کرده که از این پراکسی‌ها برای سرقت کلیک استفاده شده است.

از آنجایی که مایکروسافت این بدافزار را گزارش کرده است، Windows Defender آن را شناسایی خواهد کرد.

مرکز افتا تاکید کرده که برای جلوگیری از آلودگی، بهترین توصیه این است که کاربران هیچ فایل HTA را اجرا نکنند، به خصوص فایل‌هایی که منابع آن‌ها نامعتبر است. طبق آمارهای مایکروسافت، Nodersok در چند هفته گذشته توانسته هزاران سیستم را در سراسر دنیا آلوده نماید .

---

مطالب مرتبط:

آموزشگاه اکسل

کلاس آموزش حرفه ای فتوشاپ

آموزش ورد و اکسل

دوره آموزش نرم افزار کورل