最近，網路駭客開始專心研究如何在攻擊過程當中不留下痕跡，因此無檔案式惡意程式 (如最近的 SOREBRECT 勒索病毒) 未來將更加普遍。不過，這類惡意程式有很多只在潛入使用者系統時才不寫入檔案，但最後在執行真正的惡意程式時還是會在磁碟上產生檔案，所以純無檔案式的攻擊畢竟還是少數。因此，我們覺得有必要跟大家介紹一個新的木馬程式，叫做「JS_POWMET」(趨勢科技命名為 JS_POWMET.DE)，該程式會利用 Windows 系統登錄中的開機自動執行機碼來進入電腦。其感染過程完全不會在磁碟上產生檔案，所以很難用沙盒模擬分析技術來加以偵測，同時也加深了資安人員的研究難度。

根據趨勢科技 Smart Protection Network (SPN) 全球威脅情報網所收到的初步資料顯示，感染 JS_POWMET 最嚴重的是亞太地區，將近 90% 的感染案例都來自該區域。

技術細節

 圖 1：JS_POWMET 感染過程示意圖。

儘管此木馬程式進入系統的確切管道還無法確定，但很可能是因為使用者瀏覽了惡意網站才下載到該木馬程式，或者是由其他惡意程式植入系統當中。但很肯定的是，當該惡意程式下載到系統上時，系統登錄當中就會出現以下機碼： 繼續閱讀