分类: 恶意软件

美国国土安全部门及 FBI 发布警告 提醒企业防范恶意脚本注入

E-skimming 是指黑客将恶意代码植入电子商务网站,并窃取信用卡数据或个人身份信息的行为。联邦调查局(FBI)近期对企业发布警告,提醒他们注意此类型的攻击。 “此警告专门针对在线进行信用卡付款的中小型企业和政府机构。黑客会通过将恶意代码注入网站来盗取信息。他们可能已经通过钓鱼攻击和攻击服务器厂商获得了员工访问权限。”——FBI. E-skimming 最早于2016年出现并迅速发展。在过去的几年中,黑客在 Magecart 组织下进行了许多次攻击。 实现 e-skimming 的方式有多种,例如利用电子商务平台 Magento,OpenCart 中的漏洞等等。其他方法还包括通过供应链攻击破坏这些平台的插件,或者将信用卡读取脚本注入某个公司的网站,或者获取管理员权限并在电子商店中植入恶意代码。 Magecart  组织的黑客主要致力于利用软件盗窃者窃取支付卡数据。自2010年以来,安全公司至少盗取了十几个团体的活动 ,其中就包括  英国航空,  Newegg,  Ticketmaster,  MyPillow和Amerisleep以及  Feedify。 为防范黑客攻击,FBI 提供了如下建议: 1.使用最新的安全软件更新和修补所有系统。需要将防病毒和反恶意软件升级到最新版,并且开启防火墙。 2.更改所有系统上的默认登录凭据。 3.对员工进行网络安全教育,不要轻易点击邮件中的链接或附件。 4.隔离和分段网络系统,防止黑客连续攻击。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

黑客伪造 WordPress 插件并植入后门

伪造 WordPress 插件是黑客的常用攻击方式之一。然而安全人员近期发现了一些具有后门功能的插件,如 initiatorseo 和 updrat123 等。 黑客依照 UpdraftPlus 伪造了这些恶意插件。前者拥有超过 200 万活跃用户,并且会定期发布更新。 恶意插件隐藏在 WordPress 首页,只有使用具有特定User-Agent字符串(随插件而异)的浏览器才能看到它们。 即使原始感染源被删除,黑客也仍然可以在用户的电脑上建立后门,并且仍然具有对服务器的访问权限。 这些后门通过 POST 请求,将恶意文件上传到服务器。该请求包含了文件下载位置的远程 URL ,以及将在受感染服务器上创建的文件的路径和名称。 到目前为止,这些 POST 参数对于每个插件都是唯一的。 黑客利用插件,将文件(即5d9196744f88d5d9196744f893.php) 上传至站点根目录。他们将会用文件中的脚本对其他站点进行暴力攻击。就算是管理员也看不到通过 WordPress 插件安装的后门。 此外,受感染的网站可能会遭到恶意攻击,包括 DDoS 和暴力攻击,发送垃圾邮件或被用于挖矿。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

最新报告称黑客正利用 WAV 音频文件隐藏挖矿恶意代码

根据最近几个月连续发布的两个安全报告,黑客正在尝试利用WAV音频文件来隐藏恶意代码。这项技术称之为隐写术(steganography),是一种将信息隐藏在另一种数据介质中的技术。 在软件领域,steganography也简称为“stego”,用于描述将文件或文本隐藏在其他格式的文件中的过程。例如,将纯文本隐藏在图像的二进制格式中。事实上黑客已经使用隐写术有十多年了,通常不会用来破坏或者感染设备,而是作为一种转移方法。隐写术允许隐藏恶意代码的文件绕过将不可执行文件格式(例如多媒体文件)列入白名单的安全软件。 以前所有使用隐写术进行恶意软件攻击的实例都围绕使用图像文件格式(例如PNG或JEPG)展开。最近发布的两份报告中的新颖之处在于发现黑客开始使用WAV音频文件,在今年开始被广泛使用。 早在今年6月份,就有报告检测到隐藏在WAV音频文件中的恶意程序活动。赛门铁克安全研究人员表示,他们发现了一个名为Waterbug(或Turla)的俄罗斯网络间谍组织,该组织使用WAV文件将恶意代码从其服务器隐藏并传输到已经感染的受害者。 BlackBerry Cylance在本月发现了第二个恶意软件活动。在今天发布并上周与ZDNet共享的报告中,Cylance说它看到了与赛门铁克几个月前类似的东西。 但是,尽管赛门铁克报告描述了一个国家级的网络间谍活动,但Cylance表示,他们看到WAV隐写技术在日常的加密采矿恶意软件操作中被滥用。Cylance说,这个特殊的威胁参与者正在将WAV音频文件中的隐藏DLL。 该黑客的使用WAV隐写技术用于挖矿,调用系统资源来挖掘加密货币。Lemos告诉ZDNet:“使用隐秘技术需要对目标文件格式有深入的了解。通常,复杂的威胁参与者希望长时间不被发现。 隐写术可以与任何文件格式一起使用,只要攻击者遵守该格式的结构和约束,这样对目标文件进行的任何修改都不会破坏其完整性。 换句话说,通过阻止易受攻击的文件格式来防御隐写术不是正确的解决方案,因为这样最后的结果是许多流行格式都下载不了,例如 JPEG、PNG、BMP、WAV、GIF、WebP、TIFF 等。   (稿源:cnBeta,封面源自网络。)

9月恶意软件防护报告出炉:Windows Defender 跻身榜单前十

根据独立评测机构AV-Comparatives近日公布的《2019年9月恶意软件防护报告》,表明微软的Microsoft Defender已经成为非常出色的防病毒产品。根据报告显示,Defender拥有99.96%的在线保护率(Online Protection Rates),在10556个恶意软件中成功阻止了10552个,跻身该机构审查的前十防病毒程序之列。 根据测试结果显示,Avast,AVG和趋势科技以100%的保护率夺冠。McAfee(99.82%)和Total Defense(99.82%)是最差的病毒防护程序。 在本月的评测中,AV-Comparatives还重点观察了每款防病毒产品和“云”之间的相关性。换句话说,该小组希望了解在没有有效连接到Internet的情况下该软件在阻止恶意软件方面的有效性。 从测试结果来看Defender表现并不是很好,其离线恶意软件检测率仅为29.7%,高于Panda Antivirus(28.6%)和趋势科技(20.9%)。作为参考,Avast的离线检测率为97.4%。当我们查看在线检测率时,Microsoft的结果要好得多,为76.3%,但仍然落后于其他产品(所有指标都超过了92%)。   (稿源:cnBeta,封面源自网络。)

快Go矿工(KuaiGoMiner)控制数万电脑挖矿,释放远控木马窃取机密

感谢腾讯御见威胁情报中心来稿! 原文:https://s.tencent.com/research/report/824.html 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。 一、背景 腾讯安全御见威胁情报中心检测到“快Go矿工”(KuaiGoMiner)挖矿木马攻击。该木马利用NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”攻击工具针对互联网上的机器进行扫描攻击,并在攻击成功后植入挖矿和远控木马,已控制数万台电脑。因其使用的C2域名中包含“kuai-Go”,御见威胁情报中心将其命名为“快Go矿工”(KuaiGoMiner)。 “快Go矿工”(KuaiGoMiner)将挖矿程序伪装成系统进程explorer.exe、smss.exe运行,截止目前已挖矿获得门罗币242.7个,折合人民币9万余元。同时,病毒在攻陷机器上植入的gh0st远控木马,具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能,中毒电脑会面临机密信息泄露的风险。 据腾讯御见威胁情报中心统计数据,在微软发布“永恒之蓝”相关漏洞补丁过去两年多之后,仍有约30%用户未修复“永恒之蓝”漏洞(MS17-010),这导致利用该漏洞攻击的病毒始终层出不穷。“快Go矿工” (KuaiGoMiner)分布在全国各地,受害最严重地区为广东、江苏、河南、北京。 从“快Go矿工” (KuaiGoMiner)影响的行业来看,主要为IT行业、制造业、科研和技术服务业。 二、详细分析 漏洞攻击 “快Go矿工” (KuaiGoMiner)在攻陷的系统下载攻击模块,释放NSA武器中的“双脉冲星”、“永恒浪漫”、“永恒之蓝”漏洞攻击工具,释放到C:\Windows\Fonts\cd\目录下。 开始攻击后依次启动脚本go.vbs->rme.bat->cmd.bat,并在cmd.bat中完成机器出口IP查询、随机IP地址生成,然后通过分别针对局域网IP地址和外网随机IP地址进行445/139端口扫描。 最后在load.bat和loab.bat中针对开放445/139端口的机器进行永恒之蓝漏洞攻击。攻击成功后在目标机器执行Payload,将Doublepulsar.dll注入lsass.exe执行,将Eternalblue.dll注入explorer.exe执行。 Doublepulsar.dll或Eternalblue.dll执行后在目标机器下载m.exe或n.exe,保存至C:\safe.exe并启动,开始新一轮的感染和攻击。 挖矿 “快Go矿工”(KuaiGoMiner)下载释放挖矿模块文件到C:\Windows\Fonts\data\目录下。其中smss.exe为32位矿机程序,explorer.exe为64位矿机程序,Services.exe为Windows服务安装工具NSSM。 通过user.vbs启动user.bat。并在user.bat中删除计划任务”Flash_Update”、”Update”、”Update_windows”,删除旧服务和计划任务“Microsoft_Update”。之后判断系统版本,利用NSSM(services.exe)分别将smss.exe和explorer.exe安装服务至32位和64位系统上,使用的服务名称为“Microsoft_Update”。 矿机采用开源挖矿程序XMRig编译,挖矿使用矿池地址:xmr-eu1.nanopool.org:14444, 钱包地址: 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4 查询矿池目前挖矿获得收益为242.7个XMR,折合人民币约91000元。 远程控制 “快Go矿工”(KuaiGoMiner)释放经gh0st修改而成的远控木马到目录 C:\Users\[User]\AppData\Local\Temp\<random>.dll下。 连接C2地址fwq.kuai-go.com:12353,根据服务器返回的指令完成搜集系统信息、上传下载文件、删除系统记录、查看系统服务、运行和退出程序、远程桌面登陆、键盘记录等远程功能。 三、安全建议 1、 快Go矿工(KuaiGoMiner)手动清除方法: 删除目录 C:\Windows\Fonts\cd\ C:\Windows\Fonts\cd\data\ 删除文件 C:\Users\[User]\AppData\Local\Temp\<random>.dll 删除计划任务“Microsoft_Update” (执行文件路径C:\Windows\Fonts\cd\data\explorer.exe 或C:\Windows\Fonts\cd\data\smss.exe) 2、针对MS010-17 “永恒之蓝”漏洞的防御: 服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html 下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞: XP、Windows Server 2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 Win7、win8.1、Windows Server 2008、Windows 10,Windows Server 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx 3、 建议企业用户部署腾讯御点终端安全管理系统防御病毒木马攻击。 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。 IOCs MD5 339bec2b3e598b98218c16ed1e762b2a 57bd72d6dc95ff57b5321a62b9f7cde2 57003ef2a67c70f8959345f342536aa5 15d2c95fe9fe4134064e9a4f49d63cf1 20010658d789192eb69499bc5c1c9f11 546a5c41ec285686c9c082994ef193f5 830f8e648d2a7da4d512b384e29e9453 8bcf9ba698b20a6fb2fef348b8c55b1d c17f7c9c9265c4f8007d6def58174144 6dc336b2b1b4e8d5c8c5959c37b2729d 3e6c981f627122df8b428aac35cb586e 222d8a0986b8012d80edbecdc5c48714 532a0904faff2a3a8c79594c9df99320 IP 110.157.232.117 104.233.201.209 Domain w.zhzy999.net images.kuai-go.com update.kuai-go.com wx.kuai-go.com sex.kuai-go.com usa.kuai-go.com korea.kuai-go.com der.kuai-go.com fwq.kuai-go.com URL http[:]//w.zhzy999.net/images/m.exe http[:]//3.zhzy999.net/images/n.exe http[:]//images.kuai-go.com/images/logo.gif http[:]//der.kuai-go.com/img/1.rar http[:]//der.kuai-go.com/img/2.rar http[:]//110.157.232.117/images/m.exe http[:]//110.157.232.117/images/n.exe http[:]//110.157.232.117/img/1.rar http[:]//110.157.232.117/img/2.rar http[:]//110.157.232.117/img/3.rar 钱包 43uXVJimpGpcoftfAfM9AGAdHwnvuSK14Uy4wVGgJB968L6M3eXn8pgFpgNSLrbpgW8Xo5bBgHxAEMxPug8knokALBrLsV4

恶意软件可让 ATM机按需吐出所有现金

近日某个上午,德国弗莱堡市的一位银行职员发现,某台 ATM 机似乎出现了问题。其控制面板上收到了一条奇怪的消息 ——“Ho!”可惜的是,这位员工没有立即意识到,黑客已经将恶意软件植入了自动柜员机中 —— 这也是所谓的“劫持”攻击的一部分。最终结果是,正如大家在许多影视作品中所见到的那样 —— 这台 ATM 吐出了一堆现金,直至钞箱被彻底清空。 资料图(来自:Wincor Nixdorf,via BGR) 通过 Motherboard 与一家德国新闻媒体联合进行的调查,可知黑客是如何逐步对运行过时软件、安全性较低的计算机进行攻击的。 有关部门显然不希望在事情经过上着墨太多,但多个消息来源证实,这种类型的 ATM 攻击,正在全世界范围内(包括美国地区)呈现上升趋势。这意味着银行的安防系统脆弱不堪,且基本没准备对此进行处理。 通常情况下,攻击者会先从 ATM 机上的访问点(如 USB 接口)下手,以安装恶意软件。相关攻击代码的成本竟然也十分低廉 —— 仅需 1000 美元,即可买到在欧洲各地进行肆意攻击的俄罗斯软件。 软件截图(来自:@CRYPTOINSANE / Twitter) 尽管好莱坞影视作品中经常出现让 ATM 机吐出大量现金的场景,但不幸的是,现实情况也是如此。 有消息人士向参与调查的记者透露,某些不良行为者在出售代码,使得任何人只要肯出钱购买,基本上都有攻破 ATM 机的可能。 网络安全专家 David Sancho 认为,这件事不会局限于世界的某个特定角落,而是在全球范围内都有可能发生。     (稿源:cnBeta,封面源自网络。)

新型恶意软件 Tarmac 被发现针对 MacOS 用户

安全研究人员发现了一种新的Mac恶意软件,然而它的目的和功能目前仍然是一个谜。 这款恶意软件名为Tarmac(OSX / Tarmac),其通过在Mac用户的浏览器中运行恶意代码,将用户重定向到某个软件的更新页面——通常是Adobe的Flash Player。 在用户下载Flash Player更新的同时,其系统将会安装恶意软件二人组-首先是OSX / Shlayer恶意软件,然后是第一个启动的OSX / Tarmac。 自2019年1月开始传播 Confiant的安全研究人员Taha Karim表示,这次散播Shlayer + Tarmac组合的恶意活动始于今年1月。 Confiant 当时发布了一份有关2019年1月恶意广告活动的报告 ; 但是,他们只发现了Shlayer恶意软件,而没有发现Tarmac。 目前已经确定的Tarmac版本都比较旧,并且原始命令和控制服务器已关闭——或者已经被迁移。 Shlayer 会在受感染的主机上下载并安装 Tarmac。Tarmac 会收集有关受害者硬件设置的详细信息,并将此信息发送到其命令和控制服务器。 之后,Tarmac将等待新命令。但是由于服务器不可用,所以无法确定在这之后会发生什么。 从理论上讲,大多数恶意软件都非常强大,具有许多侵入性功能,Tarmac 也应该会造成巨大的威胁。但是目前一切都还只是谜。   主要受影响用户位于美国,意大利和日本 Karim 表示,分发 Shlayer 和 Tarmac 的恶意广告主要针对的是美国,意大利和日本的用户。 由于 Tarmac 的 payload 具有合法的 Apple 开发证书签名,因此 Gatekeeper 和 XProtect 不会在安装过程中报错或者中止。 如果用户想要查看自己的 Mac 系统是否受到此恶意软件感染,可以在Karim的Tarmac报告中寻找IoC。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

“月光(Moonlight)”蠕虫威胁高校网络,中毒电脑被远程控制

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/-26KdmJSWZpCjdj6tdqGIQ   一、概述 腾讯安全御见威胁情报中心检测到“月光(MoonLight)” 蠕虫病毒感染呈上升趋势,该病毒主要危害教育行业。病毒会搜集受感染系统上的邮件地址,然后伪装成屏幕保护程序文件(.scr)的病毒发送至收件人。病毒还会复制自身到启动目录、download/upload目录、共享目录以及可移动磁盘,具有较强的局域网感染能力。病毒会记录键盘输入信息发送至远程服务器、对中毒电脑进行远程控制、组建僵尸网络,对指定目标进行DDoS攻击。 在此次攻击中,病毒伪装成以“**课件”、“打印**”命名的文件进行传播,对于老师和学生具有很高的迷惑性,大学新生的防毒意识相对较差,该蠕虫病毒已在教育网络造成较重影响,在9月开学季达到感染峰值。   根据腾讯御见威胁情报中心统计数据,MoonLight蠕虫病毒攻击行业分布如下,受影响严重的前三位分别为教育、信息技术、科研及技术服务等。 从地区分布来看,MoonLight蠕虫全国各地均有感染,影响严重的省市包括:广东、北京、广西、山东、四川等地。 二、详细分析 “月光”(MoonLight)蠕虫病毒可通过邮件、文件共享、可移动磁盘等途径传播,中毒系统会被远程控制、键盘记录以及组成僵尸网络对指定网络目标进行DDoS攻击。 MoonLight蠕虫病毒的攻击流程 持久化攻击 MoonLight运行后首先将自身拷贝至以下位置,包括系统目录、临时文件目录、Run启动项、全局启动目录。使用的文件名包括固定名称(EmangEloh.exe、smss.exe、sql.cmd、service.exe、winlogon.exe)和随机生成(用<random>表示)两种: C:\Windows\sa-<random>.exe C:\Windows\Ti<random>ta.exe C:\Windows\<random>\EmangEloh.exe C:\Windows\<random>\Ja<random>bLay.com C:\Windows\<random>\smss.exe C:\Windows\System32\<random>l.exe C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sql.cmd C:\Documents and Settings\<user>\Templates\<random>\service.exe C:\Documents and Settings\<user>\Templates\<random>\Tux<random>Z.exe C:\Documents and Settings\<user>\Templates\<random>\winlogon.exe 为了确保在系统启动时自动执行和防止被删除,病毒添加到开机启动项、映像劫持、exe/scr文件关联等位置,具体包括以下注册表项: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run <random>=”%system%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <random>=”%WINDOWS%\<random>.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\msconfig.exe debugger=”%windows%\notepad.exe” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \Image File Execution Options\regedit.exe debugger=”%windows%\notepad.exe” HKEY_CLASSES_ROOT\exefile default=”File Folder” HKEY_CLASSES_ROOT\scrfile default=”File Folder” HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden=dword:00000000 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt=dword:00000001 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState FullPath=dword:00000001 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile default=”File Folder” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden UncheckedValue=dword:00000000 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders Common Startup = “%system%\<random>” HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell=”explorer.exe, “%userprofile%\Templates\<random>\<random>.exe”” HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot AlternateShell=”<random>.exe” 蠕虫式传播 病毒枚举路径,找到路径中包含以下字符的文件夹: download upload share 找到后,拷贝自身到该目录下以感染网络共享文件夹,拷贝后使用以下文件名: TutoriaL HAcking.exe Data DosenKu .exe Love Song .scr Lagu – Server .scr THe Best Ungu .scr Gallery .scr New mp3 BaraT !! .exe Windows Vista setup .scr Titip Folder Jangan DiHapus .exe Norman virus Control 5.18 .exe RaHasIA.exe Data %username%.exe Foto %username%.exe New Folder(2).exe New Folder.exe 病毒还会拷贝自身到可移动磁盘中,病毒自身使用文件夹图标,默认情况下系统不显示文件扩展名,这会让用户误认为文件夹图标而双击打开: %username% Porn.exe System Volume Infromation  .scr MoonLight蠕虫还会尝试将自身的副本发送到从受感染系统搜索获取的电子邮件地址。使用自带的SMTP邮件引擎猜测收件人电子邮件服务器,并在目标域名前面加上以下字符串: gate. mail. mail1. mx. mx1. mxs. ns1. relay. smtp. 构造包含以下字符串之一的邮件正文: aku mahasiswa BSI Margonda smt 4 Aku Mencari Wanita yang aku Cintai dan cara menggunakan email mass di lampiran ini terdapat curriculum vittae dan foto saya foto dan data Wanita tsb Thank’s ini adalah cara terakhirku ,di lampiran ini terdapat NB:Mohon di teruskan kesahabat anda oh ya aku tahu anda dr milis ilmu komputer please read again what i have written to you yah aku sedang membutuhkan pekerjaan 构造包含以下名称之一的邮件附件: curriculum vittae.zip USE_RAR_To_Extract.ace file.bz2 thisfile.gz TITT’S Picture.jar 蠕虫病毒使用的Payload下载地址: http[:]//www.geocities.com/m00nL19ht2006/ 主要危害 MoonLight蠕虫病毒会针对指定目标网站执行DDoS攻击,并通过后门在受害系统列举文件和目录、创建和执行程序,同时具有内置的键盘记录功能,可将记录的键盘输入发送到远程地址 三、安全建议 1、不要打开不明来源的邮件附件,对于附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 2、谨慎访问网络共享盘、U盘、移动硬盘时,发现可疑文件首先使用杀毒软件进行扫描; 3、建议使用腾讯电脑管家或部署腾讯御点终端安全管理系统防御病毒木马攻击; 4、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统; IOCs Md5 5c58e370266f182e6507d2aef55228e6 9c852e1c379849c3b6572a4d13b8624b f1af3d3d0c5a5d6df5441314b67a81f4 d1b2b5b83f839a17d113e6c5c51c8660 3d62ac71ff3537d30fcb310a2053196a aa22ed285c82841100ae66f52710e0b1 Domain www[.]apasajalah.host.sk URL http[:]//www.apasajalah.host.sk/testms.php?mod=save&bkd=0&klog= http[:]//www.geocities.com/m00nL19ht2006/ http[:]//www.geocities.com/sblsji1/IN12QGROSLWX.txt http[:]//www.geocities.com/jowobot123/BrontokInf3.txt http[:]//www.geocities.com/sblsji1/in14olpdwhox.txt http[:]//www.geocities.com/sbllma5/IN12ORURWHOX.txt 参考链接: https://www.f-secure.com/v-descs/email-worm_w32_vb_fw.shtml

Google Play 商店发现能够自行隐藏图标的恶意广告应用

总部位于澳大利亚的SophosLabs研究人员最近发现了15个应用程序,这些应用程序除了在Android设备上积极展示广告外似乎没有其他作用。这些程序的名称和产品描述,从QR阅读器到图像编辑应用程序不等。使这些应用程序更加隐蔽的是,它们隐藏了自己的应用图标,使它们更难从手机中删除。其中一些程序甚至在设置中使用不同的名称和图标来伪装自己。 Sophos给出了一个名为Flash On Calls&Messages(free.calls.messages)的应用程序示例。启动后,它会显示一条消息,指出“此应用程序与您的设备不兼容!”,然后它将应用程序商店打开到Google Maps页面,以诱骗用户以为Google Maps是问题所在。之后,它会隐藏其图标,以便无法在启动器中看到它。 更糟糕的是,这些应用进一步尝试通过在Android设置中使用其他名称和图标来避免将其删除。 15个程序中有9个采用这种策略以避免被发现。伪装的应用程序将使用更新,备份,时区服务甚至Google Play商店之类的名称来模仿无害的程序甚至基本功能。 首席研究员安德鲁·勃兰特(Andrew Brandt)概述了如何查找和删除烦人的恶意软件:“如果您怀疑最近安装的应用程序将其图标隐藏,请点击“设置”,然后点击“应用程序和通知”。最近打开的应用程序显示在此页面顶部的列表中。如果这些应用程序中的任何一个使用通用的Android图标,并且具有通用的名称,如“备份”,“更新”,“时区服务”),请点击该通用图标,然后点击“强制停止”,然后点击“卸载”。一个真实的系统应用程序将具有一个名为“禁用”的按钮,而不是“卸载”,您无需费心禁用它。” 发现的15个恶意应用已从Google Play中删除。但是,Play市场统计数据显示,它们已经被下载并安装在全球超过130万台设备上。   (稿源:cnBeta,封面源自网络。)

Buran 勒索病毒传入我国,用户宜小心处理不明邮件

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/jm7Q9JvsdUzfv5xELXMJ9Q 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 一、概述 腾讯安全御见威胁情报系统捕获到一款通过邮件向用户投递附带恶意宏的word文档,若用户下载邮件附件,启用宏代码,就会下载激活勒索病毒,导致磁盘文件被加密。该勒索病毒会在注册表和加密文件中写入“buran”字符串,故命名为buran勒索病毒。 根据腾讯安全御见威胁情报中心的监测数据,该勒索病毒的感染主要在境外,有个别案例已在国内出现,腾讯安全专家提醒中国用户小心处理来历不明的邮件,不打开陌生人发送的用途不明的Office文档,不要启用宏功能。 二、详细分析 1、word附件 用户打开word文档,恶意宏代码会从hxxp://54.39.233.131/word1.tmp处下载勒索病毒到C:/Windows/Temp/sdfsd2f.rry运行,word文档内容、宏代码如下图: 2、勒索病毒样本(sdfsd2f.rry) 使用WinInet函数访问geoiptool.com、iplogger.com地址获取受害机的IP地址信息; 调用cmd程序复制样本到C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe,并置注册表run键开机启动; 使用ShellExecuteW( )函数,参数”C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe” -start启动样本; 调用cmd程序删除sdfsd2f.rry样本; 3、lsass.exe进程 调用cmd程序禁用系统自动修复功能、删除系统备份、删除RDP连接历史记录、清空Application、Security、System日志,关闭日志服务开机启动; 注册表保存公钥key、受害机id; 再次创建lsass.exe进程,参数C:\Documents and Settings\Administrator\Application Data\Microsoft\Windows\lsass.exe -agent 1,遍历磁盘文件,加密用户数据; 为每一个文件生成256位key,使用AES-256-CBC加密文件; 生成密钥对RSA-512,公钥用来加密256位key,内容存放到文件中; 私钥被注册表中的RSA公钥加密存放文件中; 以下后缀名文件会被跳过; 文件开头写入“BURAN”标志,防止文件被重复加密; 文件内容被加密后,使用代表受害机ID的后缀重命名文件; 生成勒索信息 弹出勒索信息; 调用cmd程序删除lsass.exe样本; 国外论坛某用户花了3000$才恢复了所有数据; 三、安全建议 企业用户针对该病毒的重点防御措施: 1、对重要文件和数据(数据库等数据)进行定期非本地备份,可启用腾讯电脑管家或腾讯御点内置的文档守护者功能,利用磁盘冗余空间自动备份文档; 2、教育终端用户谨慎下载陌生邮件附件,若非必要,应禁止启用Office宏代码。   企业用户通用的防病毒扩散方法: 1、尽量关闭不必要的端口,如:445、135,139等,对3389,5900等端口可进行白名单配置,只允许白名单内的IP连接登陆。 2、尽量关闭不必要的文件共享,如有需要,请使用ACL和强密码保护来限制访问权限,禁用对共享文件夹的匿名访问。 3、采用高强度的密码,避免使用弱口令密码,并定期更换密码。建议服务器密码使用高强度且无规律密码,并且强制要求每个服务器使用不同密码管理。 4、对没有互联需求的服务器/工作站内部访问设置相应控制,避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。 5、在终端/服务器部署专业安全防护软件,Web服务器可考虑部署在腾讯云等具备专业安全防护能力的云服务。 6、建议全网安装御点终端安全管理系统(https://s.tencent.com/product/yd/index.html)。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控,以及策略管控等全方位的安全管理功能,可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。   个人用户: 1、启用腾讯电脑管家,勿随意打开陌生邮件,关闭Office执行宏代码; 2、打开电脑管家的文档守护者功能,利用磁盘冗余空间自动备份数据文档,即使发生意外,数据也可有备无患; 3、 使用腾讯电脑管家查杀拦截该病毒。 IOC MD5: 4ac964a4a791864163476f640e460e41 f9190f9c9e1f9a8bd61f773be341ab91 328690b99a3fc5f0f2a98aa918d71faa f4cb791863f346416de39b0b254e7c5e cfab38b5c12a8abcbdadfc1f5ac5c37d 99837e301d8af9560a4e6df01a81dc39 IP: 54.39.233.131 URL: hxxp://54.39.233.131/word1.tmp