IT技術互動交流平臺

JavaScript郵件附件可能攜帶惡意代碼

發布日期:2016-06-20 22:00:53

最近出現了一種叫做RAA的勒索程序,完全用JavaScript寫成,能通過使用很強的加密程序鎖定用戶的文件。

Windows中大多數的惡意軟件都是用C或C++這種編譯型的語言寫的,以.exe或.dll等可執行文件的形式傳播。其他的惡意軟件則使用命令行的腳本寫成,比如Windows的batch活這PowerShell。

客戶端的惡意軟件用網頁相關的語言寫成的很少,比如JavaScript的,這種語言主要是瀏覽器來解釋。但是Windows內置的的Script Host,也可以直接執行.js文件。

攻擊者最近才開始使用這項技術。上個月,微軟 警告了在惡意郵件中的js附件可能攜帶病毒 ,ESET的安全研究院也警告,某些js附件可能散步Locky病毒。但是這兩種情況下,JavaScript文件都是作為惡意軟件的一個下載器的,他們從別的地址下載并默認安裝使用別的語言寫成的傳統的惡意軟件。但是RAA卻不同,這是完全用JavaScript語言寫成的惡意軟件。

BleepingComputer.com技術支持論壇的專家說,RAA依賴與一個安全的JavaScript庫CryptoJS,來實現它的加密過程。加密的實現非常牢固,使用了AES-256加密算法。

一旦文件被加密之后,RAA會在原文件名的后綴加上.locked。其加密的目標包括:.doc, .xls, .rtf, .pdf, .dbf, .jpg, .dwg, .cdr, .psd, .cd, .mdb, .png, .lcd, .zip, .rar和.csv.

BleepingComputer.com的創始人Lawrence Abrams在一篇 博客 中說:“目前的情況下,除了付費,還沒有能解密的方法。

根據用戶的反應,感染RAA之后會隨機顯示俄文的信息,但是即使它的目標是俄羅斯的計算機,但是它的泛濫只是時間問題。

在郵件中包含JavaScript附件很不正常,所以用戶最好避免打開這類文件,即使它們包含在.zip壓縮文檔中。.js文件除了在網站和瀏覽器中,在其他地方很少用。

Tag標簽: 惡意   附件   郵件  
  • 專題推薦

About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自于互聯網,僅供用于網絡技術學習,學習中請遵循相關法律法規
彩票联盟网站 清丰县| 沂南县|