資料結構
網路
關係資料庫管理系統
作業系統
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 程式設計
C++
C#
MongoDB
MySQL
Javascript
PHP
物理學
化學
生物學
數學
英語
經濟學
心理學
社會學
服裝設計
法律研究什麼是 SysJoker 惡意軟體,它有哪些危險?
2021 年底,一種新型惡意軟體被發現潛入基於 Linux 的伺服器。令人擔憂的是,它被發現未被反病毒軟體檢測到,並且具有多種形式,可以感染 Windows、macOS 和 Linux 計算機。這種名為 SysJoker 的新型惡意軟體應該引起每個人的注意。
它可以在多種流行的作業系統上執行,包括 Windows、macOS 和 Linux。幾個月來,它成功地避開了網路安全領域眾多系統、軟體和檢測平臺的監控。最終,位於紐約的計算機安全公司 Intezer 的專家發現了這種新型惡意軟體,它充當後門 (backdoor)。
SysJoker 的威脅
通常,SysJoker 以多種形式存在,適用於 Linux、Windows 和 macOS。
然後,它可以使用這些資訊構建一系列檔案和登錄檔命令,使其能夠安裝其他惡意軟體,在受感染裝置上執行命令並關閉後門。
這種惡意軟體是一個嚴重威脅,因為它可以使自身不被反病毒軟體檢測到。
目前,確定疑似受害者是否感染該病毒的唯一方法是手動檢查其計算機上生成的 檔案。
SysJoker 與其他後門有什麼區別?
2021 年 12 月下旬,SysJoker 在對“一所主要教育機構”的網路伺服器進行攻擊的過程中被發現。雖然之前認為該漏洞僅影響 Linux 計算機,但很快發現它也影響了 Windows 和 Mac OS X。根據發現它的安全公司 Intezer 的說法,最初的攻擊可能發生在今年早些時候。
只有受害者才能啟用 SysJoker。該程式偽裝成系統更新,使用者必須下載並安裝它。這種基本的欺騙手段加劇了社交工程網路攻擊帶來的威脅。SysJoker 與以前的惡意軟體的不同之處在於,它似乎是從頭開始建立的,而不是基於現有的惡意軟體。事實上,該惡意軟體的複雜性以及它與四個獨立的命令和控制伺服器的關聯表明,開發它花費了大量的時間和精力。它不是來自普通的網路罪犯。SysJoker 是由瞭解自己在做什麼的人建立的。
它可以繼續從多個命令和控制伺服器接收補充和指令。在控制伺服器的推動下,SysJoker 能夠隨著時間的推移變得更強大或獲得更強大的功能。
工作原理
在 Windows 下,SysJoker 包含一個第一級注入器,它以 DLL 的形式存在,將被引入系統,允許 PowerShell 命令解壓縮並執行 SysJoker(然後以 ZIP 格式存在)。在 90 到 120 秒的空閒時間後,SysJoker 建立一個新目錄(C:\ProgramData\SystemData)並安裝英特爾顯示卡通用使用者介面服務 (igfxCUIService.exe),這只不過是一個與英特爾顯示卡驅動程式一起安裝的軟體元件,並且是該品牌使用者介面的組成部分。
下一步是什麼?在每個級別之間,SysJoker 花時間獲取有關機器的資訊,並在未知的時間段內休息。一段時間後,它解碼一個實際上是硬編碼的 Google Drive 連結,並訪問一個提供命令和控制伺服器 (C2 或 C&C) 地址的檔案,該檔案也可能隨時間而變化。最後,SysJoker 能夠收集執行命令(exe、cmd、刪除登錄檔項和退出)或安裝惡意軟體所需的資訊。
如何查詢 SysJoker 並將其刪除?
由於 SysJoker 最近才被檢測到,因此大多數病毒掃描工具幾乎無法識別它。幸運的是,有一些方法可以確定您的機器是否感染了這種特別頑固的問題。
使用者可以在其計算機上執行記憶體掃描程式。記憶體掃描程式可以識別 SysJoker 資料有效負載,而您的傳統防病毒軟體無法檢測到它。當發現 SysJoker 時,您必須刪除所有新的 SysJoker 檔案並終止所有與 SysJoker 相關的程序。
在此步驟之後再執行一次記憶體掃描,以確保已刪除 SysJoker 的所有痕跡。現在您的系統已清理完畢,是時候確定惡意軟體的入口點。請記住,SysJoker 需要使用者自行下載並安裝程式。
如何避免在您的機器上感染 SysJoker
防止 SysJoker 在您的網路中造成破壞的最簡單方法是複習基本的網路安全最佳實踐。如果您收到一封包含可疑連結的電子郵件或訊息,請不要考慮嘗試找出誰傳送了它。應該立即將其丟棄。駭客會利用使用者的輕信。
SysJoker 假裝是系統更新。如果您沒有從任何可疑網站下載任何內容或點選任何奇怪的連結,則 SysJoker 無法聯絡您。此外,SysJoker 正在攻擊教育系統,並且似乎是在大筆預算的支援下開發的。
139 次檢視
