数据结构
网络
关系数据库管理系统
操作系统
Java
MS Excel
iOS
HTML
CSS
Android
Python
C 编程
C++
C#
MongoDB
MySQL
Javascript
PHP
物理学
化学
生物学
数学
英语
经济学
心理学
社会学
服装设计
法律研究什么是 SysJoker 恶意软件,它有哪些危险?
2021 年底,一种新型恶意软件被发现潜入基于 Linux 的服务器。令人担忧的是,它被发现未被反病毒软件检测到,并且具有多种形式,可以感染 Windows、macOS 和 Linux 计算机。这种名为 SysJoker 的新型恶意软件应该引起每个人的注意。
它可以在多种流行的操作系统上运行,包括 Windows、macOS 和 Linux。几个月来,它成功地避开了网络安全领域众多系统、软件和检测平台的监控。最终,位于纽约的计算机安全公司 Intezer 的专家发现了这种新型恶意软件,它充当后门 (backdoor)。
SysJoker 的威胁
通常,SysJoker 以多种形式存在,适用于 Linux、Windows 和 macOS。
然后,它可以使用这些信息构建一系列文件和注册表命令,使其能够安装其他恶意软件,在受感染设备上运行命令并关闭后门。
这种恶意软件是一个严重威胁,因为它可以使自身不被反病毒软件检测到。
目前,确定疑似受害者是否感染该病毒的唯一方法是手动检查其计算机上生成的 文件。
SysJoker 与其他后门有什么区别?
2021 年 12 月下旬,SysJoker 在对“一所主要教育机构”的网络服务器进行攻击的过程中被发现。虽然之前认为该漏洞仅影响 Linux 计算机,但很快发现它也影响了 Windows 和 Mac OS X。根据发现它的安全公司 Intezer 的说法,最初的攻击可能发生在今年早些时候。
只有受害者才能激活 SysJoker。该程序伪装成系统更新,用户必须下载并安装它。这种基本的欺骗手段加剧了社交工程网络攻击带来的威胁。SysJoker 与以前的恶意软件的不同之处在于,它似乎是从头开始创建的,而不是基于现有的恶意软件。事实上,该恶意软件的复杂性以及它与四个独立的命令和控制服务器的关联表明,开发它花费了大量的时间和精力。它不是来自普通的网络罪犯。SysJoker 是由了解自己在做什么的人创建的。
它可以继续从多个命令和控制服务器接收补充和指令。在控制服务器的推动下,SysJoker 能够随着时间的推移变得更强大或获得更强大的功能。
工作原理
在 Windows 下,SysJoker 包含一个第一级注入器,它以 DLL 的形式存在,将被引入系统,允许 PowerShell 命令解压缩并运行 SysJoker(然后以 ZIP 格式存在)。在 90 到 120 秒的空闲时间后,SysJoker 创建一个新目录(C:\ProgramData\SystemData)并安装英特尔显卡通用用户界面服务 (igfxCUIService.exe),这只不过是一个与英特尔显卡驱动程序一起安装的软件组件,并且是该品牌用户界面的组成部分。
下一步是什么?在每个级别之间,SysJoker 花时间获取有关机器的信息,并在未知的时间段内休息。一段时间后,它解码一个实际上是硬编码的 Google Drive 链接,并访问一个提供命令和控制服务器 (C2 或 C&C) 地址的文件,该文件也可能随时间而变化。最后,SysJoker 能够收集运行命令(exe、cmd、删除注册表项和退出)或安装恶意软件所需的信息。
如何查找 SysJoker 并将其删除?
由于 SysJoker 最近才被检测到,因此大多数病毒扫描工具几乎无法识别它。幸运的是,有一些方法可以确定您的机器是否感染了这种特别顽固的问题。
用户可以在其计算机上运行内存扫描程序。内存扫描程序可以识别 SysJoker 数据有效负载,而您的传统防病毒软件无法检测到它。当发现 SysJoker 时,您必须删除所有新的 SysJoker 文件并终止所有与 SysJoker 相关的进程。
在此步骤之后再运行一次内存扫描,以确保已删除 SysJoker 的所有痕迹。现在您的系统已清理完毕,是时候确定恶意软件的入口点。请记住,SysJoker 需要用户自行下载并安装程序。
如何避免在您的机器上感染 SysJoker
防止 SysJoker 在您的网络中造成破坏的最简单方法是复习基本的网络安全最佳实践。如果您收到一封包含可疑链接的电子邮件或消息,请不要考虑尝试找出谁发送了它。应该立即将其丢弃。黑客会利用用户的轻信。
SysJoker 假装是系统更新。如果您没有从任何可疑网站下载任何内容或点击任何奇怪的链接,则 SysJoker 无法联系您。此外,SysJoker 正在攻击教育系统,并且似乎是在大笔预算的支持下开发的。
139 次查看
