记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

四十余款破解工具携带病毒,盗取用户信用卡账户等隐私信息

一、概述近日,火绒安全团队截获病毒“Socelars”,正通过KMSpico、Adobe Photoshop 等四十余款软件破解工具进行传播。该病毒会利用被感染用户的facebook临时登录凭证,专门窃取用户当前绑定的信用卡账户信息。在本次截获到的样本中,该病毒被植入在KMSpico、WindowsLoader等四十余种破解工具中,具体带毒破解工具列表如下图所示。用户一旦下载运行携带病毒的软件,就会激活病毒。病毒“Socelars”首次出现于2017年8月,至今依然活跃,并且持续不断的更新变种。该病毒入侵电脑后,会获取用户facebook网站的登录凭证,然后利用会话劫持,获取当前用户绑定的信用卡账户、好友信息等隐私数据
发布时间:2018-05-28 12:20 | 阅读:78651 | 评论:0 | 标签:系统安全 病毒

当攻击者熟读兵法,Camouflage病毒实战演示暗度陈仓之计

   “明修栈道,暗度陈仓”的典故许多人都听说过,该典故出自楚汉争霸时期,刘邦意图进入关中,需要攻下关中咽喉之地——陈仓。韩信献出一计:表面上浩浩荡荡地修复通往陈仓的栈道以迷惑陈仓守将,暗地里派兵从小道偷袭陈仓。最终刘邦采用此计一举夺取关中之地,为后续争霸天下铺路。   通过表面的行动迷惑敌人,隐藏自己的攻击路线,暗地里实施真正的攻击,这一直是战争中的常用手法。如今这一手法却被恶意开发者学了去,在病毒中使用该手法迷惑感染用户,攻击用户手机于无形之中。   近期,安天AVL移动安全和猎豹移动安全实验室捕获一种病毒程序” Camouflage”,该病毒正是利用暗度陈仓之计攻击用户手机:根据远程控制指令弹出锁屏界面,强制锁定用户手机屏幕,锁屏界面伪装成内存清理界面以迷惑用户;实际在在锁屏期间,该病毒会私自拨打扣费电话
发布时间:2016-12-07 04:05 | 阅读:148992 | 评论:0 | 标签:病毒播报 Camouflage root 推送广告 暗度陈仓 病毒

使用IMA扩展Linux可执行日志记录

作者:Alek Rollyson(FireEye 威胁研究,漏洞专家) 翻译:小王子/棱安全团队 审校:lycxk/棱安全团队 深入了解系统上的可执行文件是提高终端可见性的第一步,进一步来说,集中存储文件执行数据的日志,能够为在网络中检测和捕获病毒提供了一个良好的机会。 Security information and event management(SIEM)安全信息和事件管理及其他安全监控程序,在某种程度上取决于能否良好的采集数据。进程执行数据对于启用多种检测和捕获场景是非常宝贵的,这就意味着应当考虑将数据收集和存储,使其在未来能够进一步分析。FireEye的Threat Analytics Platform(TAP)威胁分析平台基于云的SIEM解决方案,使用该平台的客户经常向FireEye询问可以帮助
发布时间:2016-11-11 03:35 | 阅读:195058 | 评论:0 | 标签:网络安全 auditd IMA Kaiten IoT bot Linux日志记录,审计 SIEM 完整性测量架构 恶意软

手机游戏之殇:被仿冒的不只是Pokemon Go

         最近,一款名为《Pokemon Go》(又名:《口袋妖怪GO》)的手机游戏火爆全球,但由于锁区策略,中国玩家们无法体验正式版,于是纷纷把目光投向网上各类修改版。玩家们的需求让恶意开发者看到了可乘之机,各类仿冒Pokemon Go的恶意应用趁虚而入,在鱼龙混杂的游戏应用市场,玩家们的个人隐私和财产安全正遭受着严重的威胁。       近期,安天AVL移动安全团队和猎豹移动安全实验室在研究仿冒游戏类病毒时发现,除了Pokemon Go外还有大量仿冒其他知名手机游戏的病毒存在。其中一起案例由于极高的感染次数引起了安全研究专家的注意:该病毒从2015年11月爆发至今,总感染事件数高达300万次。其中月感染数据如下: 图一        该病毒通过仿冒国内的知名手机游戏进行传播(详细信息见图二),一旦
发布时间:2016-07-26 19:40 | 阅读:124404 | 评论:0 | 标签:病毒播报 仿冒 游戏 病毒

假借知名应用植入恶意模块,披着羊皮的“狼”来了!WarThunder远程控制木马预警

         近期,安天AVL移动安全和猎豹移动安全实验室共同截获一款名为WarThunder的远程控制木马程序。该病毒将恶意模块植入知名应用以诱骗用户下载并实施远程控制中毒设备的恶意操作。正如披着羊皮的“狼”, WarThunder假借知名应用的外壳正到处招摇撞骗,目前已有上万用户感染此病毒。        WarThunder一旦被不知情用户安装到手机中,会在用户解锁手机屏幕或手机电池电量、网络发生变化时,任性自启运行。该病毒运行后会尝试与远程服务器通信获取远程控制指令,根据指令完成一系列远程控制恶意行为,如上传用户的短信和联系人等隐私信息、控制用户的手机向指定号码发送指定短信、拦截包含指定字段的短信或指定号码的短信并转发到指定号码、推送虚假消息诱导用户点击访问安全性未知的网络链接等。        
发布时间:2016-06-17 18:50 | 阅读:111127 | 评论:0 | 标签:病毒播报 WarThunder 恶意 木马 病毒 远程控制

盗版用户面临的“APT攻击”风险

一、概述1.盗版软件用户和“APT攻击”我国电脑用户当中,使用盗版软件是非常普遍的现象,从盗版的Windows系统到各种收费软件的“破解版”等等。互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”,投其所好地帮助用户使用盗版软件。但是“天下没有白吃的午餐”,除了一部分破解爱好者提供的无害的免费激活工具之外,病毒制造者也瞄准了盗版人群,他们利用提供激活工具的机会,将恶性病毒植入用户电脑。前段时间爆发的“小马激活病毒”为例,其以系统激活工具的身份为掩护,利用其“入场”时间早的天然优势,在用户电脑上屏蔽安全软件、肆意劫持流量,危害极大。同理,许多病毒制造者病毒用PE工具箱、系统激活工具等形式进行包装,不但加快了病毒的传播速度,也加强了其隐蔽性,从而躲避安全软件的查杀。提到APT,很
发布时间:2016-06-02 20:25 | 阅读:478991 | 评论:0 | 标签:系统安全 apt apt攻击 病毒 盗版

伏地虫病毒分析报告

0x01 病毒背景及危害伏地虫病毒程序,是一款危害及其严重的手机恶意程序。此病毒所采用的技术非常高超,能够自动获取用户手机设备的Root权限,拥有了Root权限,该病毒就可以在手机设备上为所欲为,比如下载恶意程序,泄露用户隐私信息,盗走网银账户等等。该病毒会自带root方案,方案数量多达26个,基本覆盖了绝大多数android漏洞提权的内容。通过病毒的感染方式和恶意行为,可以判定制造这个病毒不是一个“个人行为”,该恶意程序的背后,有一个“强大”的团队在运作。下图是近一个月来,腾讯手机管家监测到的伏地虫病毒的感染数据,每日均有数以万计的新增量,可以看出伏地虫病毒的传播速度之快,尤其是在周末会出现病毒感染的高峰。截止目前,已有近80万的手机用户感染了伏地虫病毒,严重影响了用户的正常生活,甚至造成财产损失,下面对伏地
发布时间:2016-05-25 04:55 | 阅读:107885 | 评论:0 | 标签:术有专攻 伏地虫病毒 恶意程序 病毒

Macbeth病毒植入流行社交应用,上亿用户或受影响

前言        Macbeth,又名麦克白,        莎士比亚四大悲剧中《麦克白》主人公,        作为国王表弟、帝国将军,为一己私利,弑兄篡位,        为巩固统治,害死亲友,屠杀人民,众叛亲离,人神共愤,        后被原国王之子和英格兰援军围攻,人首分离,可悲可叹。        你以为这只发生在小说中?在黑产恶意势力与安全防护阵营这场无硝烟的战争中,这种“篡位谋利”的事情可是屡见不鲜呢~        最近,安天AVL移动安全和猎豹移动安全实验室共同截获病毒Macbeth,一种篡改国际知名社交应用并植入恶意模块的病毒。该病毒篡夺正常应用的手机入口,运行后立即加载恶意核心模块,窃取用户银行卡余额信息、下载提权模块私自获取用户设备Root权限并通过远程控制指令控制感染设备实现一系列
发布时间:2016-05-20 15:00 | 阅读:107823 | 评论:0 | 标签:病毒播报 恶意 病毒 麦克白

阿里安全发布2015移动安全病毒年报

第一章 2015年病毒和仿冒应用发展分析在移动互联网高速发展的今天,移动设备给人们的生活带来的诸多便利与变革,但也时刻面临着不同程度的安全风险,其中病毒木马是最为普遍且有效的攻击方式之一。不同于以往PC时代攻击场景相对独立的情况,移动设备作为人们与外界进行绝大部分信息交流的重要工具,同时也提供了更多被黑客利用的机会。另一方面,随着移动支付的普及,以及移动设备承载了几乎所有的隐私信息,使得移动设备成为黑客实施以经济利益为目的理想的攻击对象。根据阿里移动安全的分析统计,2015年移动恶意代码数量和用户感染量虽然呈现出一定程度的下降趋势,但全年仍有18%的设备感染过病毒,且病毒木马攻击手法的专业性较去年有了明显的提升,例如利用系统漏洞的攻击和安全加固技术的防御,尤其是对于社会工程学的利用使得在移
发布时间:2016-03-02 23:55 | 阅读:101416 | 评论:0 | 标签:安全报告 终端安全 病毒 移动安全 移动

Internet Archive设立“恶意软件博物馆”

据外媒报道,近日,Internet Archive(archive.org)添加了一个特别的版块,通过它,人们可以了解恶意软件是如何开始以及随时间推移而发生的演变。与此同时,archive.org还是一个非常实用的Wayback Machine,用户可以在上面浏览一些域名的旧版本以及它们发展的过程。 F-Secure首席研究官Mikko Hypponen想出了这个“恶意软件博物馆”项目。 目前该项目列出的病毒时间跨度只有从80年代到90年代,虽然目前只有79个条目,但接下来还会继续增长。 据悉,所有的条目都是DOS病毒,它们在DOSBox游戏模拟器中运行。Hypponen表示,为了预防对用户造成的任何损害,他移除了恶意软件中具有强大破坏力的病毒,所以用户可以安心地将它们下载到电脑中并看看其内部构成。 相较于现
发布时间:2016-02-07 22:30 | 阅读:94474 | 评论:0 | 标签:业界 Dos 博物馆 病毒

来看看当年的那些DOS病毒 比现在的病毒炫酷多了

如果你早在MS-DOS时代就有接触那时的病毒,应该会感觉那时病毒的呈现方式比现在要炫酷很多,如果你对这些病毒仍然充满兴趣,甚至很怀念,可以来看看这个病毒博物馆。此病毒博物馆名叫The Malware Collection的,里面有一系列上世纪90年代能够对MS-DOS系统造成影响的有趣病毒。 现如今你可以在浏览器中看到它们昔日的模样(点击这里访问The Malware Collection)。 许多病毒在当时具备了极大的破坏性,不过另一方面也具备了趣味性,他们通常会呈现一些有趣的信息,有时甚至还会播放音乐,更像是一种艺术的展现形式。 当然了,在The Malware Collection中看看这些病毒运行时的样子不会对你的设备产生任何影响,所以纯粹是为欣赏他们当年的所作所为。但那个时候如果你中了这些病毒,则真
发布时间:2016-02-06 16:00 | 阅读:86636 | 评论:0 | 标签:业界 Dos 病毒

政策有变,“晚婚假病毒”借机来袭

伴随着放开二胎政策的实施,在16年到来之际又一条重磅消息随之而来,国家将取消晚婚假。消息一出就一直备受大家的关注,新闻、政府文件也成为了大家获取第一手消息的主要途径。最近发现,有一类感染型病毒正借此机会大肆传播。详细分析:下图展示了病毒的整个执行过程:  首先病毒伪装成文档的图标,命名为晚婚假取消最新解读,诱骗用户点击。 当用户点击后,弹出了一个关于晚婚假被取消的文章,用户认为这就是一个普通文档。 但随即也运行了病毒程序,修改了IE,随即感染了系统文件。我们上传到哈勃,可以看到详细的分析。 在哈勃的分析结果中,得知病毒释放了可执行文件。 通过WriteFile的参数,看一下写入的内容。看到创建的文件是一个可执行文件。 创
发布时间:2016-01-19 01:35 | 阅读:58573 | 评论:0 | 标签:文章 网络安全 晚婚假 病毒

KK插件病毒感染全球700万台手机,证据显示幕后黑手来自深圳

1、概述KK插件是一个可以在整个手机操作系统中弹出恶意广告的移动病毒。早在几个月前,在Google Play中的KK插件变种产品就已经有至少185个了,这些病毒感染了全球30多个国家的用户。猎豹移动安全实验室(CMS Lab)发现超过700万用户已经通过多种分发方式感染了病毒,App Store和直接下载等方式。病毒感染仍在持续,每天能感染超过80万用户。黑客通过让用户从弹出恶意广告中在他们的智能机上下载不必要的app赚钱。一旦手机被KK插件感染,系统中会频繁弹出恶意广告并警告手机被感染了,同时提供了其他应用程序进行下载安装。全球分布2、感染范围(1)被感染病毒最多的十个国家东南亚国家的KK插件感染最为严重。(2)Android病毒市场这个木马已经在全球的Android下载平台、Andro
发布时间:2015-11-26 01:00 | 阅读:112308 | 评论:0 | 标签:系统安全 终端安全 网络安全 KK插件 安卓 木马 病毒

警惕!新型安卓病毒可能会逼迫你换手机

[摘要]如果你不是一位技术达人,手机一旦中了这种病毒,你的手机就无法进行刷机,也无法删除手机中的资料信息。 腾讯数码讯(Newsboy)安全公司Lookout近期发出警告,称安卓设备用户需要警惕一种新型应用病毒,它不光能够悄然重置手机,还能够让其自行安装,作为其一款系统应用,并且很难被删掉。到底有多困难呢?如果你不是一位技术达人,无法重新更换手机ROM,那你就无法删掉它,可能还得逼迫你换新手机。 这种病毒起初会隐藏在其他应用之内,其中包括了像Facebook,Twitter,Google Now以及WhatsApp等知名应用。当你试图在手机上卸载这些被感染应用时,这些应用版本已经不是最初的版本。这些被感染的应用一般是用户通过第三方安卓应用软件市场下载。 这些受感染应用非常的聪明,它们会入侵手机,重置手机,使其
发布时间:2015-11-10 01:50 | 阅读:70442 | 评论:0 | 标签:安全 安卓 病毒

病毒遗传感染技术及一种思路实

三年前的技术,再发出来给大家看看 关于这个问题总被一些朋友问起,就把在xcon议题中讨论的paper发到这里了,代码是最早时候的 一版,写的一点都不优化:( 里面的个别指令已经做了修改,感染后会有问题的,喜欢研究vx技术的朋友 自然能修正,不希望被xx在邪恶地方。 [目录] [0x01].简介 [0x02].关于病毒遗传感染技术 2.1.计算机病毒/人工生命/自进化 2.2.多态/变形之后的思路 2.2.多态/变形的弱点在哪里? [0x03].遗传感染的一种实现思路 3.1.从生物病毒那里寻找些思路? 3.2.改进我们的的思路 3.3.舍弃掉解密器/收缩器 3.4.构造一个新的变形机制 3.5.病毒"基因&q
发布时间:2015-09-28 23:42 | 阅读:169723 | 评论:0 | 标签:病毒

IT高手自编病毒搞瘫中石化系统 开价65万维修

两位IT高手徐某和王某苦心钻研自己公司提供给中石化华东公司的SCADA系统(油管监控系统),为该系统“私人订制”了一套病毒程序。病毒爆发导致系统无法运行,随后毛遂自荐修复程序向东家索要65万元。2015年5月23日,上海市奉贤区人民法院对这起破坏计算机信息系统案作出一审宣判。两人犯破坏计算机信息系统罪,分别判处有期徒刑5年、4年。 徐某技术很好,王某经常请教徐某技术问题,即使徐某跳槽去了另外一家外企,2人依旧保持着密切的联系,而在一次QQ闲谈中,他们却动起了歪脑筋。 “我们想到搞一个程序放在SCADA里,它就能按我们的需要让系统正常、出错甚至瘫痪。”徐某回忆说:“只要不被发现服务器上的程序,就没有办法真正修 好,我们便可赚取维修费。”两人达成共识后着手研发,病毒经20余次的QQ传递、调整,终于研发成功。201
发布时间:2015-06-14 03:30 | 阅读:91222 | 评论:0 | 标签:业界 中国石化 病毒

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云