一种能够同时攻击windows、mac和linux三大操作系统的恶意软件已经出现。尽管“全平台通杀”病毒并不常见，但安全公司intezer的研究人员发现，有一家教育公司上个月遭到了攻击。

更令人担忧的是，通过分析域名和病毒库，研究人员发现这种恶意软件已经存在了半年之久，直到最近才被检测出来。

这种恶意软件被命名为SysJoker。

通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_安全 SysJoker的核心部分是后缀名为“.ts”的TypeScript文件，一旦感染后就能被远程控制，方便黑客进行进一步的攻击，比如植入勒索病毒。

SysJoker使用C++编写，每个变体都是为目标操作系统量身定制的，之前在57个不同的反病毒检测引擎上都未被检测到。

通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_安全_02 SysJoker如何攻击三大系统？

SysJoker在三种操作系统上的行为相似，以下以Windows为例说明SysJoker的攻击过程。

首先，SysJoker会伪装成系统更新。

当用户误将它视为更新文件并运行时，它会随机休眠90到120秒，然后在C:\ProgramData\SystemData\目录下复制自身，并改名为igfxCUIService.exe，伪装成英特尔图形通用用户界面服务。

随后，它使用Live off the Land（LOtL）命令收集关于机器的信息，包括MAC地址、用户名、物理媒体序列号和IP地址等。

SysJoker使用不同的临时文本文件来记录命令的结果。这些文本文件会立即删除，存储在JSON对象中，然后编码并写入名为microsoft_windows.dll的文件。

通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_linux_03通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_macos_04 Google Drive链接指向一个名为“domain.txt”的文本文件，这是以编码形式保存的远程控制文件。

在Windows系统上，一旦感染完成，SysJoker就可以远程运行包括“exe”、“cmd”、“remove_reg”在内的可执行文件。

通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_linux_05 而且研究人员在分析期间发现，以上服务器地址更改了三次，这表明攻击者处于活动状态，并监控了受感染的机器。

如何检测和清除SysJoker

尽管SysJoker现在被杀毒软件检测的概率很低，但发现它的Intezer公司还是提供了一些检测方法。

用户可以使用内存扫描工具检测内存中的SysJoker有效负载，或者在EDR或SIEM中使用检测内容进行搜索。具体操作方法可以参考Intezer网站。

通杀Win Mac Linux三大系统，恶意软件伪装成系统更新，隐藏半年才被发现_linux_06 对于已经感染的用户，Intezer也提供了手动清除SysJoker的方法。

用户可以终止与SysJoker相关的进程，删除相关的注册表键值和所有与SysJoker相关的文件。

Linux和Mac的感染路径有所不同，用户可以在Intezer查询这些参数，分析自己的电脑是否被感染。