记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

WastedLocker勒索软件技术分析

7月23日,导航设备和智能设备制造商Garmin遭受了大规模的服务中断,随后官方确认受到了网络攻击。截至7月29日,受影响的线上服务还未完全恢复。研究人员分析后发现,攻击者使用了一个木马WastedLocker,本文对该木马进行技术分析。 命令行参数 研究人员分析发现WastedLocker使用了命令行接口,可以处理多个控制运行方式的参数。 -p <directory-path> 优先处理:木马首先会加密指定的目录,然后将其加入到排除的列表中来避免再次二次处理,然后加密设备上剩余的其他目录。 ###-f <directory-path>只加密指定的目录: -u username:password \hostname 使用给定的认证凭证来加密指定网络资源上的文件: -r
发布时间:2020-08-06 14:07 | 阅读:3046 | 评论:0 | 标签:系统安全 base64编码 directory-path RSA 密钥 UAC WastedLocker 勒索软件 参数

2019全球高级持续性威胁(APT)研究报告

一、前言 高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。 整个2019年,虽然没有太过于轰动的攻击事件,但是攻击的事件却有增无减。腾讯安全威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年APT攻击研究报告。根据研究结果,我们认为主要的结论如下: 1、 中国依然是APT攻击的主要受害国,受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁; 2、网络攻击形势跟地域政治局势有相当密切的关联,地域安全形势复杂的地区,往往是APT攻击最为严重和复杂的地区; 3、多平台的
发布时间:2020-03-08 14:19 | 阅读:48793 | 评论:0 | 标签:安全报告 2019 apt 木马

TA505:利用Get2恶意下载工具传播新型SDBbot远程访问木马

一、概述在2019年9月,Proofpoint的研究人员观察到一个非常活跃的威胁参与者TA505持续发送电子邮件,尝试传播并诱导安装新型恶意下载工具Get2。我们观察到,Get2下载了FlawedGrace、FlawedAmmyy、Snatch和SDBbot(一种新型Rat)作为辅助Payload。在本文中,Proofpoint将详细介绍与这些最新恶意活动相关的策略、技术和过程(TTP),并提供对Get2下载工具和SDBbot RAT的详细分析。这些新的发展是一种既有模式的延续,从2018年以来,Proofpoint研究人员观察到众多威胁行为者越来越多地分发下载程序、后门程序、信息窃取程序、远程访问木马(RAT)以及更
发布时间:2019-10-30 13:10 | 阅读:42979 | 评论:0 | 标签:恶意软件 Get2 木马

游戏外挂捆绑驱动木马,已劫持上万台电脑浏览器

一、概述腾讯安全御见威胁情报中心检测到一名为updataxx.rar的驱动型木马捆绑在流行游戏外挂中传播。该木马频繁更新躲避杀毒软件查杀,木马内置多个网址提供自更新服务。该木马的主要危害是进行主页劫持,劫持的网址列表从云端配置文件获取。但由于每次开机启动都会进行自更新,不排除后期拉取其他恶意功能的代码执行,潜在危害较大。该木马近期活跃性上升,疑与电商购物节之前劫持用户浏览器导流获利有关。腾讯安图关联数据显示,该系列木马驱动的多个自更新网址注册时间都是2018年年底,如yun.521drive.com、go.gengxinsys.com注册时间为2018年12月;bb.niuqudong.com注册时间为2018年11月
发布时间:2019-10-28 13:10 | 阅读:47921 | 评论:0 | 标签:Web安全 木马 外挂

病毒团伙利用phpStudy RCE漏洞批量抓鸡,下发四个远控木马

一、简介近期,腾讯安全御见威胁情报中心监测到团伙利用phpStudy RCE(远程代码执行)漏洞批量抓“肉鸡”,该团伙手握四大远控木马:Nitol、大灰狼、魑魅魍魉、Gh0st,入侵后完全控制采用phpStudy搭建的服务器,并下发DDoS攻击指令,对目标计算机进行网络攻击。监测数据表明,受该病毒团伙影响的受害服务器数量正在增加,受害服务器主要位于广东(24.9%)、四川(8.1%)、山东(6.8%)。有多个企业租用的云服务器因phpStudy组件漏洞被入侵控制。 二、详细分析黑客入侵成功后下发后门Nitol远控:fuck.exe、0.exe木马除了会上报电脑基本信息外,还会上报用户当前的活动进程,
发布时间:2019-09-29 18:10 | 阅读:59493 | 评论:0 | 标签:系统安全 木马 漏洞

腾讯安全威胁感知系统截获网银大盗木马,提醒网友注意陌生邮件安全

概述腾讯安全御见威胁感知系统聚类出T-F-278915恶意家族,经分析该家族样本会窃取多种虚拟货币、窃取多国(包含中文、日文、希腊语)银行账户登录凭证,删除用户的浏览器信息,并利用用户电脑进行IQ虚拟货币挖矿等行为。该木马感染后监测到用户进行网银、支付相关的操作时,会复制剪贴板信息、截屏、进行键盘记录,将中毒电脑隐私信息上传,通过创建任务计划、添加启动项实现开机自动加载,病毒在做这些操作时,顺便利用中毒机器的算力挖矿。目前该网银大盗木马在国内已散在出现,其传播渠道主要依靠钓鱼欺诈类邮件。腾讯安全专家提醒用户小心点击来历不明的邮件附件及邮件提供的网址。详细分析1、 原始样本使用C#编写,其中的Class1类解密
发布时间:2019-08-28 18:10 | 阅读:58389 | 评论:0 | 标签:移动安全 木马

探寻木马进化趋势:APT32多版本远控木马Ratsnif的横向分析

一、概述OceanLotus恶意组织(又名APT32、CobaltKitty)正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析,发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新,目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本,其中前三个在2016年开发完成,第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5:516ad28f8fa161f086be7ca122351ed
发布时间:2019-07-08 12:25 | 阅读:63235 | 评论:0 | 标签:逆向破解 木马

吃鸡辅助远控木马分析

近期360安全卫士拦截到带木马的荒野求生辅助通过论坛、QQ、YY大量传播。木马运行后,黑客可以远程控制用户电脑,进行任意操作,并将中招电脑作为傀儡机,进行DDOS攻击,严重危害个人信息安全和网络秩序。一、主要流程带木马的荒野求生辅助以免费形式发布在布衣论坛中                                          图1带木马的荒野求生辅助运行后界面如下图2该荒野求生辅助被用户下载运行后会
发布时间:2018-04-24 12:20 | 阅读:136418 | 评论:0 | 标签:系统安全 木马

密室内的枪声!“双枪2”感染过程实录

前言去年7月,360安全中心曾率先曝光国内首例连环感染MBR(磁盘主引导记录)和VBR(卷引导记录)的顽固木马——“双枪”。今年3月初,360安全中心发现“双枪”新变种开始出没,并从其感染行为入手,进行了一次全面分析。与此前爆发的“双枪”木马类似,“双枪2”是以篡改电脑主页为目的,其感染迹象是浏览器主页被篡改为带有“33845”编号的网址导航站。同样地,“双枪2”使用了VBR、MBR驱动进行相互保护,查杀难度碾压“鬼影”“暗云”等顽固木马创新高。与此前不同的是,新变种“双枪2” 主要通过下载站进行传播,它增加了与杀软的对抗策略,会拦截杀软文件创建;同时,还会通过锁定系统注册表HIVE文件,导致正常的服务项无法写入,犹如
发布时间:2018-04-09 00:20 | 阅读:148552 | 评论:0 | 标签:事件 技术 系统安全 木马 病毒分析

新型“敲竹杠”木马设置障眼法反侦察 360巧破天书密码

最近,以锁定电脑并勒索钱财著称的“敲竹杠”木马又出新花招,它伪装为Timi科技飞车辅助大肆泛滥, 360安全中心已经接到多起用户求助,称受诱导退出安全软件运行木马后,电脑被强锁,且被索要百余元赎金。 360安全专家在破译解锁密码的过程中发现,该木马具有很强的反侦察能力,它使用了障眼法故布疑阵,研究人员分析出的解锁密码“⒈”并非数字,而是特殊符号,经过紧急分析后,研究者发现中招者需要输入Alt+162再Alt+177 (数字在小键盘输入然后回车)才能解密。 电脑被“敲竹杠”木马锁定 这款“敲竹杠”木马通过网盘链接、论坛、贴吧等多个渠道大规模扩散,木马谎称是游戏辅助的内部试用版,诱导玩家加入所谓的“TiMi内部辅助QQ群”以获取开启密码,实际上,输入这个开启密码后,“敲竹杠”木马已经悄悄运行了。 “敲竹杠”木
发布时间:2017-09-30 16:45 | 阅读:114177 | 评论:0 | 标签:社会工程 360安全 勒索 技术支持诈骗 木马 社会工程学

一个钓鱼木马的分析(二)

            上次讲到此木马在内存里有个加密的pe文件存在,接下来我们就来讲解这个从内存里扣出来的pe文件到底怎么工作的。               在入口点,通过hash对比去查找ntdll.dll,kernel32.dll的模块句柄,而不是通过我们常用的方法GetMoudleHanlde()的方法去获取句柄,           看看serverlog_search_moudle这个函数的实现,在函数内部使用了[[[FS:[30]+0xc]+0xc]+0×30]的方法去获取模块的名字,在ring3层FS寄存器指向的是线程环境块,0×30的偏移即指向PEB(进程环境块),PEB的0xc就是指向LDR表,后面的偏移就是
发布时间:2017-08-06 03:40 | 阅读:99005 | 评论:0 | 标签:专栏 木马

细节揭秘:Google Play Store上的恶意软件,如何借助广告网络完成“病毒式”传播

摘要:本文由卡巴斯基实验室安全研究员经一年多的观察研究总结而成,主要阐述了Google Play Store上一类广告恶意软件的传播和感染方式与途径,项目起因在于一个“Guide for Pokémon Go”恶意软件的发现,作者好奇这类恶意软件的传播速度如此之快,每天的新增用户下载量数以万计,事情的转折点是用户评论区的一些评论内容…… 1.“Guide for Pokémon Go”分析 2016年底,我们向Google报告了一个Google Play store上的新发现的恶意程序:“Guide for Pokémon Go”。(注:“Pokémon Go”,即口袋妖怪GO,是由任天堂、Pokémon公司和谷歌的Niantic Labs公司联合制作开发的现实增强(AR)宠物养成对战
发布时间:2017-06-05 08:50 | 阅读:135269 | 评论:0 | 标签:安全报告 恶意软件 木马 病毒式

2017第一季度安卓短信扣费木马研究:七成扣费木马擅长以”用户的名义”骗取话费

一、摘要 1.1 话费作为的最便捷的支付,比较适合“闷声发大财”。 隐藏在话费背后的SP服务可以很方便的帮助不怀好意的人将用户话费放到自己的口袋,少则扣费几十元,多则可能消费几百元积少成多累计起来也是暴力。比如前段时间首起恶意扣费软件案影响设备数600万台,非法获利6726余万元。 1.2 短信扣费类木马分为两大流派。 势力最大的一派以暗扣类游戏为主(占据市场份额最大),它们深谙用户用户心理,利用用户操作习惯,设置陷阱诱骗用户点击通过订阅SP服务进行变现。另外一派则以后台无图标应用为主,通过ROOT恶意木马,ROM预装等方式偷偷潜伏进去用户设备,后台自动发送SP扣费短信进行变现。 1.3 从SP扣费信息来源看,分成本地硬编码和云端平台获取两种。 本地硬编码含有几个或者几十个扣费通道,云端平台是一种无穷无尽的扣费
发布时间:2017-04-29 12:45 | 阅读:169192 | 评论:0 | 标签:安全报告 终端安全 Android 木马 短信

“敲诈者”黑产研究报告

导读 一封短短的邮件,却可以被不法分子用来远程加密受害者文件,敲诈比特币赎金。 本来用于自动运行操作方便用户的宏命令,却成为了木马的“帮凶”。 敲诈木马的背后,是成熟运转的黑色产业链。从恶意服务器的注册和建设,到木马的制作、邮件的发送,都能从受害者支付的赎金中分得一杯羹。 不法分子还会利用宏发动什么样的攻击?面对这样的木马又应该如何防范?本报告将带你了解以上内容,挖掘“敲诈者”及其背后的黑色产业。 一、愈演愈烈的敲诈风暴 只需一封邮件,便能锁定电脑重要文件进行敲诈 席卷全球的敲诈风暴,公司被迫支付赎金 北京的汪为(化名)周一上班后,和往常一样开始处理手头的工作。 汪为所在的公司是一家互联网企业,汪为日常的工作是在网上与客户进行联系,维护产品销售渠道。最近,公司准备出国参加一场展销会,汪为正跟几家快递公司通
发布时间:2017-03-10 11:15 | 阅读:165450 | 评论:0 | 标签:行业动态 勒索敲诈 木马 黑产

不法分子借情人节话题传播恶意程序 伺机盗取用户机密信息

又到了一年一度朋友圈“撒狗粮”的日子了,玫瑰花、恩爱照、示爱信又将开启霸屏模式。当然,也有少不了适合“单身汪”的漂流瓶、网络趣图、情趣小游戏等等。但是,这些以“爱”之名的“诱饵”很多却是不法分子精心设计的“爱情”陷阱。一旦点击了其中携带的恶意链接或是附件,就可能导致账号、密码等个人信息被窃,甚至还有可能成落入不法分子精心布局的网络诈骗之中。趋势科技提醒大家,情人节猎奇更要注意网络链接及内容的安全性,切忌勿因好奇害死猫。 很多“情人节红包”其实都是网络陷阱 利用情人节这个绝佳机会伺机而动的不法分子不在少数,在已经监测到的事件中,不法分子会以“情人节红包大赠送”、“你收到了一个新的表白信息”等标题作为噱头,向用户发送包含恶意链接或附件的垃圾邮件。一旦点击,其潜藏的木马病毒就会感染受害者的操作系统,继而盗取受害者的
发布时间:2017-02-11 03:45 | 阅读:156272 | 评论:0 | 标签:厂商供稿 恶意软件 情人节 木马 趋势科技

Dridex木马使用前所未有的手段规避UAC

Flashpoint安全研究人员警告:最近观测到的Dridex投放行动利用了新的UAC(用户账户控制)规避方法。 Dridex最先于2014年被发现,因其使用了 GameOver ZeuS (GoZ) 恶意软件点对点架构改进版来保护其命令与控制(C&C)服务器,而被认为是GoZ的继任者。Dridex作为最流行的银行木马家族冒头,但其最近的活动相比2014和2015年时的还是有所平缓。 最近观察到的Dridex活动比较小型,针对英国金融机构,采用了前所未见的UAC规避方法——利用Windows默认恢复光盘程序recdisc.exe。该恶意软件还被观测到通过伪装的SPP.dll来加载恶意代码,利用svchost和spoolsrv来与第一级C&C服务器和其他节点进行通信。 与其他恶意软件类似,Dri
发布时间:2017-02-07 00:15 | 阅读:124055 | 评论:0 | 标签:威胁情报 Dridex 木马 用户账户控制

Android系统中也存在Web注入吗?

有一类专门针对浏览器的攻击,被称为浏览器中间人(MITB)攻击。想要实现这类攻击,方式也非常的多,像恶意 DDL 注入,扩展欺骗或将一些特制的恶意代码注入到浏览器页面中,欺骗代理服务器等。MITB攻击的目的,相比那些较常见的中间人攻击也有所不同。一般的中间人攻击,例如链路劫持投放一些商业性广告,或窃取某些用户量较大网站,用户账户里的虚拟财产为攻击目的。相关报道,可参见 Lurk case。 当MITB类攻击的目标为网上银行时,通常会使用 web 注入攻击。这种攻击,会将一段恶意代码注入到网上银行服务页面中,以此来拦截一次性SMS消息,收集用户信息,欺骗银行详情等。例如,我们巴西的同事发布了一篇,关于用户打印 Boletos 的,条形码欺骗攻击的长篇报告。这篇报告同时也成为了非常受欢迎的银行文档,并被巴西银行和
发布时间:2017-01-25 21:55 | 阅读:182739 | 评论:0 | 标签:数据安全 终端安全 Android 安卓 木马 移动安全 注入

用树莓派搭建小型honeynet

前言 树莓派小巧且耗费的电量非常少,如果你有一两个备用的,你可以使用他们来搭建蜜罐。 温馨提示:尽管蜜罐软件通常与底层操作系统隔离,但是也有存在错误以及发生事故的可能,所以不应该在托管蜜罐软件的系统上运行任何服务。 不建议在共享网络环境中运行无人值守的蜜罐。即使是低端的路由器现在也有某种DMZ选项可用于此活动,但更好的选择是使用具有严格和带宽限制的专用IP网络。 蜜罐及其环境应始终被视为已经沦陷的,下载到蜜罐的文件和脚本可能有危险,不应在其他地方运行。如果你已经厌倦了对入侵蜜罐的人的观察分析,可以彻底擦除它,完全重新安装。 安装 我的一个蜜罐实验室包括两个树莓派。一个处理SSH和Telnet连接,而另一个处理HTTP、SMTP、POP3和IRC。如下所述,在必要的时候,他们之间还可以进行通信。 路由器上的端口转
发布时间:2016-12-20 19:25 | 阅读:277551 | 评论:0 | 标签:网络安全 Cowrie honeynet InetSim Kippo rootkit 僵尸网络 木马 树莓派 蜜罐

“成人影集”样本分析(下篇)

声明:本文由expsky@MS509Team原创,仅用于技术交流分享,禁止将相关技术应用到不当途径。  上文《这个19KB的“成人影集”到底做了什么?》 对这个样本进行追踪分析的过程中,发现了至少上千的域名和IP与之有关联,这个木马影响面不小,但样本涉及到的大马下载链接,以及情报关联到的大马下载链接最近都失效,继续分析受阻… 功夫不负有心人,大马样本还是被找到,经过对大马的深入分析后,发现背后是一个庞大的僵尸网络,活跃了相当长时间,而最近一两个月更是异常活跃加速传播。大马的功能非常丰富,并继续通过发送包含木马的色情邮件进行蠕虫式扩散传播,并且运用到了很多加密反调试的手段,给逆向分析带来了很大的难度。该样本的深入分析国内还鲜有报道,看完下面的样本分析后,相信对样本以及此僵尸网络都会有个全面
发布时间:2016-11-14 19:15 | 阅读:128428 | 评论:0 | 标签:安全报告 系统安全 成人影集 木马

过期签名“红颜”木马分析

上个月在中秋来临之际,360白名单分析组即时发布了冒用数字签名的木马分析报告,在持续的跟踪对抗过程中,我们发现该作案团伙不断的对数字签名做各种尝试,并且为了在被感染用户的机器上扎根存活不断改进其木马框架。 本文对捕获到的最新木马“红颜”进行分析,这次的重点将放在木马的行为框架上,其主要的流程如下图所示: 图 1 木马行为框架流程图 一、 签名过期的主程序 在最新捕获的木马样本中,出现了一些具有过期证书的数字签名,木马的主程序就签发了如下签名: 图 2木马文件签发过期证书 可以看出其数字证书的有效期是到2015年5月,导致系统验证数字签名时提示不在有效期。经试验,把系统的时间修改到有效期内,将看到数字签名校验显示正常,可以想象作者试图以此来对抗杀毒软件的检测。 图 3修改系统时间后过期数字签名校验有效
发布时间:2016-10-25 22:25 | 阅读:142252 | 评论:0 | 标签:系统安全 木马 红颜 过期签名

“杀手”木马:一个浏览器恶意插件行为分析

近期,腾讯反病毒实验室发现一款通过浏览器插件作恶的木马程序大量传播,经分析,该木马能够静默安装IE、Chrome两种类型的多款浏览器插件,通过这些恶意插件实现篡改导航网站、搜索引擎的推广ID获利,同时篡改购物网站的商品链接,以返利网站跳转实现推广获利,影响数十万用户。根据其源码注释,我们得知该木马代号——“杀手”。 “杀手”木马的部分注释,本文所有代码相关注释均为木马作者所写 概况 “杀手”木马的功能主要通过浏览器插件实现,安装过程较为复杂,绕过了系统和浏览器的很多安全机制,能够在系统和浏览器默认安全等级下实现静默安装恶意插件。该木马支持X86、X64两种操作系统,支持IE、Chrome以及多种国产改装版浏览器,影响广泛,危害严重。 木马安装流程 “杀手”木马以插件形式工作,但是主要功能是由
发布时间:2016-10-20 22:20 | 阅读:144015 | 评论:0 | 标签:WEB安全 木马

赛门铁克发现中国Android 勒索软件正在使用伪随机密码和双锁屏攻击

赛门铁克安全团队最近发现,Android.Lockscreen(锁屏恶意软件)的新变种正在通过伪随机密码,阻止受害者在不支付赎金的情况下解锁设备。此前,这类勒索软件的早期版本使用硬编码密码锁定屏幕。然而,安全专业人士能够对代码进行反向工程,为受害者提供密码解锁设备。此外,攻击者通过结合自定义锁屏和设备锁屏来增加解锁难度。赛门铁克过去针对类似移动威胁的监测显示,此类木马程序能够在传播前,直接在移动设备上进行创建。经过分析,赛门铁克安全团队发现在中国出现的此类安全威胁为Android.Lockscreen(锁屏恶意软件)。  伪随机密码 一旦移动设备感染木马,这类恶意软件便会创建一个自定义的“系统错误”窗口,强行覆盖在感染设备每一个可见的UI之上。此时,恶意软件会在窗口中显示恐吓消息,告知受害者通过联系攻击者才能获
发布时间:2016-09-29 03:50 | 阅读:123496 | 评论:0 | 标签:威胁情报 android 勒索软件 木马 Android

“百家”木马集团第二弹:冒领数字签名

0×00 背景前段时间,腾讯反病毒实验室曝光了一批通过文件名控制木马行为的“百家”木马[1],该木马存在于某些安全软件白名单中,随后我们对该木马进行深入的分析挖掘,发现了其另一种入白方式——冒领数字签名(即通过伪造公司资料,向签名机构申请知名公司数字签名证书)。发现此情况后,腾讯电脑管家第一时间与相关公司联系,最终确认这些数字证书并非他们申请,并通过官方微博率先发布不法分子伪造资料申请知名网络公司数字签名的安全预警。[2] 0×01 木马描述恶意的数字证书主要被用来给以“百家”木马集团为主的文件签名,目前腾讯反病毒实验室监控到的签名文件多达数百个,数字证书十多个,该系列木马的行为与我们之前分析的“百家”木马集团对应的部分id行为一致,主要为
发布时间:2016-09-03 00:50 | 阅读:107296 | 评论:0 | 标签:安全报告 系统安全 木马 百家

一个文件,百种名称,百种行为:“百家”木马集团分析

0×00背景近日,腾讯反病毒实验室拦截到一批伪装成客户通知单的木马,该木马会根据自身文件名的不同而进行多种不同的恶意行为,经测试,目前国内的多款杀毒软件尚不能查杀该病毒,多个木马的变种MD5被多款安全软件加入到白名单中,导致主动防御也失效。该木马近期持续活跃,传播量上万,该木马有以下特点: 1)通过文件名控制自身行为,根据不同的文件名有着多达六十多种不同的行为。 2)以直接通过查询远程数据库的方式获取配置信息,减少了不少工作量,但暴露了数据库的帐号密码。 3)篡改本地受信任数字证书列表,并构造证书给木马签名,逃避查杀。0×01木马文件概况文件名:客户通知单xxx.exe(xxx代表id号)MD5:ab8c32c0360d063375794e76ae824a30大小:34
发布时间:2016-08-14 22:00 | 阅读:100890 | 评论:0 | 标签:系统安全 木马 百家

新型安卓木马SpyNote生成器遭泄露

近日,Palo Alto Networks 威胁情报团队Unit42 宣布发现一类新型安卓木马SpyNote,该木马可执行远程入侵功能,其生成器近日在多个恶意软件论坛上遭泄露。 SpyNoted与知名的RAT (Remote Administration Tools, RAT) 程序OmniRat 和 DroidJack相类似,令恶意软件所有者能够对Android设备实施远程管理控制。与其他RAT一样,SpyNote有如下主要特征,无需Root访问权限安装新的APK 并更新恶意软件将设备上的文件复制到电脑上浏览设备上全部信息监听设备来电获取设备上的联系人列表借助设备麦克风监听或者录制音频控制设备摄像头获取IMEI串号、Wi-Fi MAC地址以及手机运营商信息获取设备最后一个GPS定位信息拨打电话 Sp
发布时间:2016-08-04 21:20 | 阅读:146846 | 评论:0 | 标签:威胁情报 SpyNote 安卓 木马

Pokemon Go玩家或成为下一个网络攻击对象

Pokemon Go (口袋妖怪 Go)在全球引发了一场抓捕小精灵的热潮,尽管只在部分地区发布,但这款游戏却在不到一周的时间内获得了超过百万次的安装量。Pokemon Go的火爆现象同时也吸引了网络罪犯的注意。赛门铁克安全团队已经发现了针对该游戏的社交媒体骗局和木马版本。不仅如此,由于官方版本要求用户开放相关权限,隐私和数据安全问题也受到了公众的关注。在奋力抓捕口袋妖怪的同时,赛门铁克安全团队希望提示玩家注意以下网络威胁,保护设备和自身安全。免费 PokeCoin 骗局在Pokemon Go中,玩家可以在应用内购买被称为 PokeCoin 的虚拟货币,并用来购买游戏中的道具,例如引诱口袋妖怪的熏香,或孵化稀有口袋妖怪的蛋。一些玩家希望绕过应用内的购买机制,尝试在网络上搜索打折或免费的PokeCoin。不幸的是,
发布时间:2016-07-19 20:50 | 阅读:146278 | 评论:0 | 标签:厂商供稿 google Niantic Pokemon Go 木马

H-WORM:简单而活跃的远控木马

现象 人在做,天在看。远控类木马的活动一直是360天眼实验室的关注重点,近期我们的天眼设备发现了如下一组看起来非常眼熟的被访问的链接。URL的模式非常明显:免费动态域名+非知名的端口+“/is-ready” 。http://adolf2013.sytes.net:1183/is-readyhttp://herohero.no-ip.org:96/is-readyhttp://micr0s0ftsoft.myftp.org:82/is-readyhttp://dzhacker15.no-ip.org:100/is-readyhttp://blackmind.redirectme.net:820/is-readyhttp://aass.no-ip.biz:83/is-readyhttp://sidisalim.my
发布时间:2016-07-01 22:30 | 阅读:151834 | 评论:0 | 标签:威胁情报 H-WORM 天眼 木马

假借知名应用植入恶意模块,披着羊皮的“狼”来了!WarThunder远程控制木马预警

         近期,安天AVL移动安全和猎豹移动安全实验室共同截获一款名为WarThunder的远程控制木马程序。该病毒将恶意模块植入知名应用以诱骗用户下载并实施远程控制中毒设备的恶意操作。正如披着羊皮的“狼”, WarThunder假借知名应用的外壳正到处招摇撞骗,目前已有上万用户感染此病毒。        WarThunder一旦被不知情用户安装到手机中,会在用户解锁手机屏幕或手机电池电量、网络发生变化时,任性自启运行。该病毒运行后会尝试与远程服务器通信获取远程控制指令,根据指令完成一系列远程控制恶意行为,如上传用户的短信和联系人等隐私信息、控制用户的手机向指定号码发送指定短信、拦截包含指定字段的短信或指定号码的短信并转发到指定号码、推送虚假消息诱导用户点击访问安全性未知的网络链接等。        
发布时间:2016-06-17 18:50 | 阅读:134530 | 评论:0 | 标签:病毒播报 WarThunder 恶意 木马 病毒 远程控制

复杂高端木马USB窃贼出现

ESET 公司的研究人员最近发现了一种复杂的 USB 木马,它可以悄然窃取受害系统上的数据,不会留下痕迹。此外,它还带有一种保护机制,使自身难以被检测、复制、分析。ESET 公司将这种木马命名为 USB Thief(USB窃贼) 。与一般 USB 木马家族的不同之处在于,恶意软件拷贝和 U 盘之间是一一对应的。一般 USB 病毒利用自运行和快捷方式文件运行,USB窃贼则依赖于一个现状:用户经常会在 U 盘上存储移动版的 Firefox 、 NotePad++ 和其它常见应用。ESET 表示,这种恶意软件会通过伪装成插件或 DLL 文件,将自身注入到这类应用的运行链条中。ESET 称,这种恶意软件会伪装成插件或 DLL 文件,将自身注入到这类应用的运行链条中。当用户执行应用程序时,也会让木马开始在后台运行。这种恶
发布时间:2016-03-25 15:40 | 阅读:123942 | 评论:0 | 标签:威胁情报 USB 恶意软件 木马

ADS

标签云