来自Kahu Security的研究人员们已经发明了一种全新恶意软件变种，其以JavaScript开发而成，不只能够劫持受害者的浏览器主页，甚至可以在检测到测验考试封锁其进程的指令时封锁您的计算机。
此恶意软件的种种变种自2014年就已经开始呈现，但其打击欲望与不行一世之势显然无法与这次曝光的最新版真相提并论。
该恶意软件会通过垃圾邮件以恶意文件附件的形式登陆用户PC设备，而且尽管其属于JavaScript文件，但却并非执行于浏览器之内，而是经由Windows Script Host——即Windows的内置JavaScript执行器——实现运行。
高度混淆之下掩藏的恶意勾当
着眼于该恶意软件的源代码，普通用户只会看到一大堆被随机稠浊起来的字符，别无其它。
Kahu Security的研究人员们暗示，该脚本操作混淆机制对其真正的有效载荷进行了隐藏——而这部分有效载荷会经由一系列操纵转变底层操纵系统设置。除了混淆之外，该脚本还会运用到了编码字符、正则表达式搜索、正则表达式替换、罕见的base转换（该脚本共同base33）以及条件语句等模糊措置惩罚惩罚手段。
颠末不懈努力，研究人员最终还是摸清了源代码的实际含义，即这套脚本的具体恶意行为流程：
1)在AppDataRoaming目录之下创建一个新的文件夹，并操作新的注册表项将其隐藏起来。
2)将合法的Windows wscript.exe应用复制到此文件夹傍边，并为其赋予一个随机名称。
3)将自身复制到此文件夹傍边，而后为自身创建一条快捷方法，其名称为“Start”并被安排在“Startup”文件夹内，亦可通过Windows开始菜单进行访谒。
4)为该Start快捷方法分配一个伪造的文件夹图标，从而让用户误以为其属于一个文件夹而非文件。
5)脚本代码的残剩部分会测验考试访谒微软、谷歌或者必应等网站，从而查抄互联网连接情况。
6)将遥测数据发送至urchintelemetry[.]com，并从95.153.31[.]22处下载并运行一个加密文件。
7)此加密文件属于另一个JS脚本，其卖力将Chrome、火狐以及IE等浏览器的首页设置为login.hhtxnet[.]com。截至发稿之时，此首页会将用户从头定向至另一网站：portalne[.]ws。
8)这后一套脚本操作WMI（即Windows打点规范）以查抄各与安适性相关的软件。
9)如果该脚本发明与安适性相关的软件，则会操作伪造的错误信息终止其执行。
10)如果用户在任务打点器傍边找到wscript.exe进程并测验考试将其封锁，该脚本会当即执行一条CLI命令以封锁用户的计算机。
11)当用户重启本身的PC设备时，由于该“Start”脚本仍存在于Startup菜单傍边，因此恶意JS软件会在启动完成后继续连结运行。
“如果大家但愿在本身的计算机上封锁这套脚本，则可直接以安适模式进行启动（或者使用其它账户登录），而后移除该启动链接与对应文件夹，”Kahu Security安适专家Darryl写道。“如果大家但愿在该脚本运行过程中对其进行分析，则可对您的安适工具从头定名，即可确保不被其发明。”