News 最新消息

老式的惡意軟體散佈方法有一個習慣，在人們停止談論它們後很長一段時間仍會繼續存在。
本文案例是以受感染的 USB 隨身碟的形式出現。

最近，一位遠端同事被提醒，老式的惡意軟體分發方法有一個習慣，即在人們停止談論它們後很長一段時間仍然存在。本文案例是以受感染的 USB 隨身碟的形式出現。

同事需要列印一份文件，但他們自己的印表機拒絕完成這項工作。由於情況緊急，他們將文件儲存在乾淨的 USB 隨身碟上，然後前往影印店。

該文件已列印，任務完成。但幾天后，當他們回到家使用 USB 進行另一次傳輸時，他們發現了兩個名為“文檔”和“系統卷資訊”的新檔案程式。點擊捷徑會觸發 Trojan.PasswordStealer.JS 的惡意軟體偵測。 （影印店的系統上可能存在一些它不知道的惡意軟體，並且在插入的每個 USB 隨身碟上植入了密碼竊取程式。）

經過檢查，他們發現捷徑方式在打開 Documents 和 System Volume Information 資料夾之前運行了一個名為rrrnqu.js的惡意 JavaScript 文件，使用以下命令：

'C:\WINDOWS\system32\cmd.exe /c start rrrnqu.js&start explorer Documents&exit'

'C:\WINDOWS\system32\cmd.exe /c start rrrnqu.js&start explorer System"
"Volume" "Information&exit'

JavaScript 檔案中的一些較複雜的函數遵循兩層混淆模式，大概是為了在靜態分析中隱藏它們的功能。複雜函數的程式碼儲存在大型 Base64 編碼字串中，這些字串被解碼，然後透過自訂解碼函數，輸出更多的 Base64 編碼文本，再次解碼，然後執行。

解碼後的函數收集系統訊息，提升腳本權限，嘗試卸載防毒軟體，並嘗試竊取 Chrome 瀏覽器中儲存的密碼以及 UltraVNC 和 Windows 遠端桌面協定 (RDP) 等遠端監控和管理工具的憑證。

UltraVNC 和 RDP 等遠端桌面應用程式的憑證允許犯罪分子從世界任何地方登入電腦並使用它，就好像他們坐在鍵盤前一樣，而 rrrnqu.js 竊取的憑證可能正是初始存取代理(IAB) 很樂意建置並出售給勒索軟體即服務(RaaS) 組織。

儘管使用了這個古老且不流行的技術，但如果這種感染發生在商業環境中未受保護的電腦上，則可能是災難的開始。

最重要的是，舊技術並不關心人們是否在談論它們或撰寫有關它們的文章，它們會一直存在，直到不再起作用。這意味著您需要採取適當的保護措施以防止它們出現，即使您不常聽到它們。保護您的 USB 隨身碟，在將它們插入未知系統之前請三思。

ThreatDown 可偵測 Trojan.PasswordStealer.JS 並可清理受感染的 USB 隨身碟。