防病毒软件公司 Malwarebytes 的安全研究员近日发现了恶意软件的一种最新战术，伪装成盗版或破解版的 VMWare 传播恶意软件，一旦发现用户强制终止其进程将会导致系统蓝屏。 研究员解释，在用户安装 VMWare 时，安装程序将会悄悄链接到一个网页下载 Visual Basic 脚本运行，该脚本也将链接到恶意软件在线服务器下载执行另一个 Tempwinlogon.exe 文件，随后自动安装 Bladabindi 远程访问木马（RAT），该木马也被称为 Derusbi 或 njRAT。该木马具有键盘记录功能，会将所有信息传回 IP 37.237.112.*。 目前 malwarebytes 论坛已公布详细的解决方案。 稿源：本站翻译整理，封面来源：百度搜索

据趋势科技报道，BLACKGEAR 是一起针对台湾多年的网络间谍活动，最近该活动新添加了日本用户作为目标。该活动在 2012 年首次被发现，使用 ELIRKS 后门工具，采用博客和微博服务以掩盖其实际的命令和控制（C＆C）服务器位置。这种技术允许攻击者通过博客实现命令通信、改变博客和微博实现快速更换 C＆C 服务器，具有高度的隐蔽特性，此外，后门与 C＆C 服务器之间的通信也被伪装成访问博客的正常流量。 趋势科技对其进行研究并得出结论： 1、用于感染用户的恶意文件已近在日本出现 2、C＆C 服务器活动使用的是基于日本地区的博客网站和微博服务 稿源：本站翻译整理，封面来源：趋势科技博客

据外媒报道，俄罗斯杀毒软件供应商 Dr.Web 在 10 月发现针对 Linux 系统的新木马“ FakeFile ”，该木马以 PDF 、 Microsoft Office 、 OpenOffice 文件形式传播。木马的源代码中有一个特定的规则：如果系统使用的 Linux 发行版是 openSUSE，则终止感染进程。也许恶意软件作者就是使用的该系统版本。FakeFile是一个成熟的后门木马，具备常见的一系列操作功能。此外木马还可以运行文件、shell命令，获取或设置所需文件和文件夹的权限，终止进程或将其从受感染的主机中移除。最令人担忧的是，木马不需要root权限就可以执行这些操作。 稿源：本站翻译整理，封面来源：百度搜索

Discord 是一款免费的 VoIP 网络电话聊天服务，在游戏玩家中非常流行，今年初曾获得 腾讯、Greylock Partners 等融资 2000万美元。然而近日国外安全厂商曝出 Discord 已成为传播远程访问木马的渠道。赛门铁克安全研究人员 表示，他们发现该服务上进行着多个垃圾邮件广告活动，传播 NanoCore、njRAT、SpyRat 等木马。垃圾邮件制造者通常使用两种方法，一方面，他们创建 Discord 服务器邀请用户访问其频道，另一方面，加入其它频道并在主聊天窗口中留下恶意链接。在大多数情况下，这些 URL 指向恶意应用程序。通过木马病毒，黑客获得相关帐户信息并设法盗走游戏金币、武器装备，之后在暗网市场上出售。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，一个新安卓恶意软件“双重实例”（ Dual Instance ）可以窃取用户 Twitter 登录凭据，并将其上传到在线服务器。该恶意软件允许用户同时登录多个帐户且目前只针对中国用户。由于中国的网络保护，用户不能直接使用 Twitter 需使用代理等技术，但并不是每个人都有足够的能力来安装 VPN 。该恶意软件就利用这点，向用户表示只需下载安装该“ Twitter ”应用即可越过网络限制登录账号。恶意软件使用沙箱环境来实现同时登录多个帐户，通过启动 VPN 连接 Twitter 服务器解决网络问题。因此一时间在中国网络论坛迅速传播。但暗中却收集 Twitter 登录凭证、上传服务器。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，安全团队 MalwareHunter 在 10 月 12 日发现了一个新的勒索软件 Exotic ，它采用 AES-128 算法加密文件、以希特勒图像为背景、勒索 50 美元，除了可加密可执行文件外并没有其他亮点。最让人感到奇怪的是，研究人员将分析视频上传到YouTube后，勒索软件作者 EvilTwin 竟然用Twitter联系安全研究人员称想做“朋友”。EvilTwin 表示，很感谢这么用心的研究他制作的勒索软件还录制成视频、希望研究员留下 Skype 联系方式继续交流。接下来两天勒索软件升级到 V2、V3 ，但变化不大，目前还没有垃圾邮件或恶意广告活动传播这一勒索软件。 稿源：本站翻译整理，封面来源：百度搜索

根据 邮件安全软件开发商 Proofpoint 发布的 2016 年第三季度威胁报告，在过去三个月中，如果您收到的垃圾邮件带有文件附件，它很可能包含一个勒索软件 Locky ， Proofpoint 发现相较于第二季度的相对平静，第三季度垃圾邮件数量急剧增多。在数十亿封利用垃圾邮件活动来传播恶意软件的所有勒索软件中，勒索软件 Locky 占了被发现总数的 96.8 ％，在第二季度它占 28 ％、第一季度它占 64 ％。在绝大多数情况下，垃圾邮件附件包含一个含 JavaScript 文件的 ZIP 文件，此外还有恶意脚本宏， HTA（ HTML 可执行文件）文件， WSF（ Windows 脚本）文件。 稿源：本站翻译整理，封面来源：百度搜索

国际知名安全厂商赛门铁克发现，过去三个月里恶意利用 Windows 脚本文件（WSF）进行邮件攻击数量显著增加，上两周已发布博客称拦截了多项 WSF 文件传播恶意软件 Locky 的邮件 。 Windows 脚本文件是含有可扩展标记语言 (XML) 代码的文本文档，可使用支持 XML 的任意编辑器编辑。文件后缀为 .wsf。 部分电子邮件客户端不会阻止 .wsf 文件的自动运行，常被攻击者利用来转播勒索软件。赛门铁克同时强调利用 .wsf 文件传播恶意软件将会成为趋势。 下图为赛门铁克统计过去几个月中含有此类恶意附件的邮件数量： 稿源：本站翻译整理，封面来源：百度搜索

2016 年 9 月，新恶意软件 TrickBot 开始活跃，最初引起专家注意是因其与银行木马 Dyre 行事风格略微相似。据统计 2015 年 11 月后垃圾邮件传播 Dyre 的数量开始下降，直至第二年1月逐渐淡出人们视野。专家猜测新恶意软件 TrickBot 或借壳重生，或是原开发人员参与到了其他项目当中。其实在 TrickBot 之前，Dridex 团队也曾尝试借用银行木马 Dyre 的技术，因此不同木马之间共享代码和技术在恶意软件一行屡见不鲜。 专家同时指出，从编码风格、感染方式以及加密操作上看，TrickBot 更像是 dyre 的升级版，目前主要针对澳大利亚银行活动。 稿源：本站翻译整理，封面来源：百度搜索