9月28日消息，微软发现全球数千台Windows电脑感染了一种新的恶意软件，该恶意软件下载并安装了node.js框架的副本，以将受感染的系统转换为代理，执行点击欺诈。该恶意软件被称为Nodersok或者Divergent，最初是在今年夏季发现的，通过恶意广告在用户电脑上强行下载HTA文件进行传播。

找到并运行这些HTA文件的用户，开始了一个涉及Excel，JavaScript和PowerShell脚本的多阶段感染过程，该过程最终下载并安装了Nodersok恶意软件。恶意软件本身具有多个组件，每个组件都有其自己的角色。有一个PowerShell模块试图禁用WindowsDefender和Windows Update，还有一个组件将恶意软件权限提升到系统级别。

根据Microsoft和CISCO的报告，该恶意软件使用其中包含的2个合法应用在受感染的主机上启动SOCKS代理。但是，这里的报告分歧很大，微软声称，该恶意软件将受感染的主机转变为代理，以转发恶意流量。而思科则表示，这些代理用于执行点击欺诈。

为了防止感染，最好的建议是用户不要运行在电脑上找到的任何HTA文件，尤其是在不知道文件确切来源情况下。根据微软遥测技术，Nodersok过去几周已经成功感染了数千台电脑。Nodersok的棘手部分是使用了合法应用程序和内存有效负载，对于经典的基于签名的防病毒程序来说，它们非常难以检测Nodersok感染。