可以同时攻击windows、MAC和Linux三种操作系统的恶意软件已经出现。

虽然“全平台杀戮”病毒并不常见，但安全公司AndyLau的研究人员发现，上个月一家教育公司招募了学生。

更可怕的是，通过分析域名和病毒数据库，他们发现该恶意软件已经存在了半年，而且只是最近才被发现。

他们将恶意软件命名为Nicholasjoker。

NicholasTseJoker的核心部分是一个后缀为“.Ts”的打字脚本文件。一旦被感染，它就可以被远程控制，以便于黑客进行进一步的后续攻击，例如植入勒索病毒。

NicholasJoker是用C++编写的。每个变体都是针对目标操作系统定制的，以前在57个不同的防病毒检测引擎上未检测到。

那么Sys和小丑是如何杀死这三个系统的呢？

Sys小丑的感染步骤

Sys在这三种操作系统中的行为是相似的。以下将以windows为例展示Sys的行为。

首先，Sys小丑将伪装成一个系统更新。

一旦用户错误地认为更新文件开始运行，它将随机休眠90到120秒，然后将自己复制到C:\programdata\Nicholastemdata\目录中，并将其名称更改为igfxcuisserviceExe，伪装为“英特尔图形通用用户界面服务”。

接下来，它使用liveofftheland（Lotl）命令来收集有关机器的信息，包括MAC地址、用户名、物理媒体序列号和IP地址。

NicholasTseJoker使用不同的临时文本文件来记录命令的结果。这些文本文件会立即被删除、存储在JSON对象中、编码并写入名为Microsoft_uuWindows的文件中。DLL。

此外，在NicholasTseJoker收集后，软件将HKEY键添加到注册表中uCurrent\uUser\software\Microsoft\windows\CurrentVersion\run保证其持久性。

在上述每个步骤之间，恶意软件将随机休眠以防止检测。

接下来，Sys将开始建立远程控制（C2）通信。

该方法是通过下载Googledrive托管的文本文件来生成远程控制。

GoogleDrive链接指向一个名为“domain.TXT”的文本文件，这是一个以编码形式保存的远程控制文件。

在Windows系统上，感染完成后，NicholasJoker可以远程运行可执行文件，包括“exe”、“CMD”和“remove_reg”。

此外，在分析过程中，研究人员发现上述服务器地址更改了三次，表明攻击者处于活动状态并监视受感染的机器。

如何杀死Sys小丑

尽管尼古拉斯·乔克被反病毒软件检测到的概率很低，但发现它的Intezer仍然提供了一些检测方法。

用户可以使用内存扫描工具检测内存中的NicholasTseJoker有效负载，或者使用检测内容在EDR或Siem中搜索。具体操作方法见Intezer网站。

不要害怕被感染的用户。Intezer还提供了一种手动杀死尼古拉斯·乔克的方法。

用户可以终止与NicholasTsejoker相关的进程，删除相关注册表项和与NicholasTsejoker相关的所有文件。

Linux和Mac有不同的感染途径。用户可以在AndyLau中查询这些参数，以分析他们的计算机是否受到感染。

© 本文系原创，著作权归：芦虎导航官网。如需转载，请署名并注明出处：https://www.luhu.co/article/000000000012688.shtml