一种难以被Windows Defender检测到的恶意软件正在快速传播

微软和思科Talos表示，一种新的，难以被反病毒软件发现的恶意软件正在积极开发中，目前正在欧洲和美国的数千台计算机中传播。该恶意软件被微软称为Nodersok，或被Cisco Talos称为Divergent。

他们通过使用Node.js框架和WinDivert（这是Windows的用户模式数据捕获和转移软件包）的代理服务器，将计算机转变为代理来促进恶意软件的传播，受影响的Windows版本包括2008、7、10和2016。

一位微软研究人员用以下术语描述了恶意软件的活动：

攻击者可以利用此恶意软件来针对公司网络，并且该恶意软件的主要目的是进行点击欺诈，它还同时具备在其他点击欺诈恶意软件（例如Kovter）中观察到的几个特征。

Windows Defender可能能够识别并阻止Nodersok（也称为Divergent）的行为，但事实证明，检测到这种恶意软件比以往的案例要来得更加困难：因为Nodersok采用了先进的无文件技术，而且还因为它依赖于一种难以捉摸的网络基础架构，该网络基础架构会导致攻击在反病毒软件监控下继续进行。

微软建议用户避免运行在其系统上找到的.hta文件格式，日常也需要注意无法识别的可疑文件，确保不会运行任何无法确定其来源的信息。