继前阵子的Windows更新反成破坏风波后，这几天Windows系统又成为了焦点，事因微软以及网络安全团队思科Talos（Cisco Talos）同时发现一个针对Windwos系统的新型恶意软件。

Nodersok/Divergent攻击示意图（图片来源：The Hacker News）

这个恶意软件目前有两个名字，一个是微软起的「Nodersok」，一个是由思科Talos起的「Divergent」。与大部分恶意软件一样，这个恶意软件也是透过钓鱼连接来传播的，但与以往的不同的是，这个恶意软件是透过利用Node.exe及WinDivert这两个完全正规的程序来进行攻击，使得它可以避过Windows Defender的扫瞄。

Nodersok/Divergent首先尝试禁用Windows Defender的反病毒功能及Windows更新，之后透过利用漏洞来提升特权（Privilege escalation），然后连接到Cloud服务来下载Node.exe及Windivert。透过这两个程序，这个恶意软件可以被系统认为是「安全」的情况下过滤掉及篡改发送出去的网络封包，最终把受到感染的计算机变成代理。

这种透过使用正规软件程序来达到恶意目的的做法，被称为「就地取地法」（Living-off-the-land techniques），而这种攻击也是很难被探测到的。

图片来源：微软

微软表示，这个恶意软件目的是为了继续向外传送恶意流量；而思科Talos则表示它是为了进行点击欺诈而设的。

图片来源：微软

目前在欧洲及美国，已经有数以千计的计算机感染了这个恶意软件，大部分都是家用个人的装置。思科Talos认为有人还在持续发布这个恶意软件，因为他们目前观察到该恶意软件有好几个不同版本的载体。微软呼吁Windows用户目前最好避免运行.hta格式的文件。