新型JSNEMUCOD病毒样本分析报告是怎样的

这篇文章给大家介绍新型JSNEMUCOD病毒样本分析报告是怎样的，内容非常详细，感兴趣的小伙伴们可以参考借鉴，希望对大家能有所帮助。

0x00 事件概述

近日，亚信安全截获新型脚本病毒JS/NEMUCOD，该病毒通过混淆以及加密的方式躲避杀毒软件检测，其通过网络共享磁盘及可移动磁盘进行传播。JS/NEMUCOD脚本病毒还具有收集被感染计算机信息、删除系统中的文件等恶意行为。亚信安全将其命名检测为TrojanSpy.JS.NEMUCOD.BONING。

0x01 事件分析

该样本是一个经过混淆的JS脚本，原始落地样本文件（shell.jse）内容如下：

经过解密和混淆后的样本如下：

该样本主要的恶意行为如下：

<1>它会链接如下网址发送和接收数据。

<2>它会收集系统如下数据：

<3>:该病毒具有传播功能，如果它在自己的C&C服务器上下载文件失败，其将在网络共享和可移动驱动器中查找具有以下扩展名的文件，删除该文件，并使用自身的副本替换已删除的文件：

<4>它具有反调试能力，如果发现系统上有防病毒软件、调试工具以及具体字符串时，将会自动终止自身运行。

内存中有如下进程：

系统中存在有如下调试工具：

系统环境中存在如下字符串：

<5>执行后会删除自身。    

0x02 解决方案

1、不要点击来源不明的邮件以及附件；

2、不要点击来源不明的邮件中包含的链接；

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码；

4、打开系统自动更新，并检测更新进行安装；

5、尽量关闭不必要的文件共享；

6、请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

0x03 关联性分析（无文件挖矿病毒）

JS/NEMUCOD病毒最早出现于2016年，起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载，或通过垃圾邮件附件传播，这些具有欺骗性的邮件附件含有 JavaScript 代码，次代码会下载及运行 Nemucod 病毒的可执行文件。在勒索病毒“漫天飞舞”的时代，Nemucod自然与勒索病毒也存在关系，例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。

近期，亚信安全发现本次样本的相关信息（或者类似样本）出现在Pastebin上，Pastebin是一个用户存储纯文本的web应用，近年来，黑客常常利用此应用放置后门脚本，由于它很方便下载和读取内容，只需要通过固定的url就可以实现下载和读取相应内容。

之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性，只需要将脚本放到此网站，然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播，所以加强计算机的安全管理显得尤为重要。同样地我们也不排除未来此病毒通过powershell的方式进一步传播。     

IOCs

MD5

URL

https://185[.]159[.]82[.]15/hollyhole/c644[.]php

https://185.159.82.20/t-34/x644.php

关于新型JSNEMUCOD病毒样本分析报告是怎样的就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。