Võrgustike allikate kohaselt on tuhanded Windowsi põhised arvutid nakatunud uue pahavara tüübi tõttu, mis laadib alla ja installib Node.js infrastruktuuri koopia, muutes nakatunud süsteemid proksiserveriteks, mida kasutatakse petuskeemide läbiviimiseks.

Pahavara, mida Microsofti raportis nimetatakse Nodersokiks ja Cisco Talosi raportis Divergentiks, avastati sel suvel. Need levisid pahavara abil, mida kasutati HTML-rakenduste failide sundimiseks arvutitesse. Kasutajad, kes avasid need failid oma arvutites, käivitasid mitmeastmelise nakatumisprotsessi, mis hõlmas Exceli, JavaScripti ja PowerShelli skripte, mis lõppkokkuvõttes viis Nodersoki pahavara allalaadimise ja installimise.
Kahjurprogrammil on mitu komponenti, mille eesmärk on täita erinevaid ülesandeid. Näiteks kasutatakse PowerShelli moodulit Windowsi värskenduste ja tavakaitse keelamiseks. Samuti on olemas moodul, mis suurendab kahjuri õigusi süsteemis. Siiski sisaldab see ka seaduslikke rakendusi: WinDivert ja Node.js. Esimene tööriist on mõeldud võrgupakettide salvestamiseks ja nendega suhtlemiseks, samas kui viimane võimaldab JavaScripti käivitada veebiserverites.
Microsofti ja Cisco aruannetes öeldakse, et kahjurvara kasutab kahe seadusliku rakenduse abi proxy-serverile nakatunud masinates. Microsofti andmetel muudab kahjurvara nakatunud sõlmed proxy-serverid kahjuliku liikluse edastamiseks. Cisco aruandes öeldakse, et proxy-servereid kasutatakse petuskeemide tegemiseks.
Selleks, et vältida nakatumist, soovitavad spetsialistid mitte käivitada HTML rakenduse faile, mis on avastatud arvutis, eriti kui nende päritolu on teadmata. Igal juhul on failid, mis ootamatult laaditakse veebilehtedelt, alati halb märk ning neile ei saa usaldada, olenemata laiendist.
Allikas: 3dnews.ru
