Norxa (نورکسا) نام بدافزار جاسوسی پیشرفته ای است که با هدف جاسوسی و جمع آوری اطلاعات طراحی شده و سیستم عامل های ویندوز را هدف قرار می دهد. ساختار این بدافزار به نحوی است که کمترین حساسیت را در سیستم عامل ایجاد می کند و همچنین دارای قابلیت دریافت دستور از سرور C&C و اجرای عملیات های خرابکارانه در سیستم قربانی می باشد. با توجه به تاریخ ایجاد فایل های مشکوک در سیستمهای مورد بررسی که سال ۲۰۱۴ است، حداقل زمان فعالیت این بدافزار از حدود سال ۲۰۱۴ تخمین زده می شود. دلیل نامگذاری بدافزار به نام Norxa، استفاده بدافزار از عبارت خاص NorxaU789fTZu6yqbkm2 برای رونویسی فایل های خود و از بین بردن آثار فعالیت خود است. طبق تحقیقات صورت پذیرفته ماژول های این بدافزار برای سیستم های ۳۲بیتی و ۶۴ بیتی به صورت اختصاصی توسعه داده شده اند.
Norxa Detector ابزاری است که برای شناسایی و مقابله با این بدافزار در سیستم های آلوده می تواند مورد استفاده قرار گیرد.
در مجموع ماژول های شناسایی شده Norxa عملیات زیر را انجام می دهند:
– ثبت سرویس بدافزار در سیستم و مدیریت آن
– ایجاد و مدیریت سایر مولفه ها همکار
– پاکسازی فرآورده ها و ردپاهای بدافزار از روی سیستم
– برقراری ارتباط با آدرس های IP مهاجم
– مدیریت عملیات رمزنگاری
– مدیریت پیام های مختلف ردوبدل شده میان ماژول های مختلف بدافزار
– مدیریت زمانبندی ریسمان ها و عملیات احتمالی بدافزار در آینده
– هوک برخی از توابع سیستمی
