据外媒 11 月 18 日报道，网络安全公司趋势科技（Trend Micro）研究人员于近期发现银行木马 Emotet 出现新型变种，能够规避安全检测的同时窃取银行凭证等用户敏感信息。 Emotet 又名 Geodo，是目前流行的一款银行木马，首次曝光于 2014 年 6 月，其主要以 “ 嗅探 ” 网络活动窃取用户私人数据闻名。随着开发人员的不断优化，其影响规模可与 Dridex 和 Feodo 媲美。Emotet 主要通过附带恶意链接的垃圾邮件进行肆意分发，一旦用户点击触发后攻击者将可通过该恶意软件窃取用户重要凭证。 研究显示，黑客可通过恶意软件 Emotet 的 “dropper” 模块接口 “RunPE” 访问系统网络的基本输入输出流程、设备用户名称，以及系统上存储的特定文件。不过，由于 RunPE 的利用太过频繁，因此开发人员改用一条鲜为人知的 CreateTimerQueueTimer 接口，从而规避安全软件检测。 CreateTimerQueueTimer 是一个 Windows 应用程序编程接口（API），其主要为轻量级对象创建队列以便在指定的时间内选择回调函数。此外，该 API 接口允许 Emotet 每秒执行一次操作，从而检测该恶意软件是否运行于沙箱之中以规避安全监测。据悉，银行木马 Hancitor 和 VAWTRAK 早已利用该接口开展攻击活动。 值得注意的是，若该恶意软件入侵目标设备后发现没有管理员特权，则会创建一个自启动服务以便维护其在受害设备上的持久性，重命名并重启系统后进行加密操作，随后通过  POST 请求将数据发送到指定的 C＆C 服务器。 目前，趋势科技就此次事件发布了恶意软件最新变种的“攻击指标”（IoCs），其安全研究人员 MalwareTech 随后也发表了有关 Emotet  C＆C 服务器的具体细节并表示，攻击者通过被黑网站代理 C＆C 服务器以规避安全监测的手法极其普遍，这些被黑网站通常都是运行多年的合法网站，就连安全公司很难将其标记为恶意服务器。 原作者：Pierluigi Paganini，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，微软在过去数月内确定了两款特洛伊木马 Qakbot 和 Emote 的更新活动，并且还指出这两款恶意软件具有相同的最终目标，即窃取用户资金或银行凭证。 调查显示，这两款银行木马原本针对网上银行用户，但现在，中小企业和其他组织也被感染。更糟糕的是，一些变种能够在系统和网络上传播，可能会恶化感染率。通常，作为附件提供的特洛伊木马将启动攻击过程。一旦下载执行并安装时，它会欺骗合法的 Windows 服务以降低怀疑。然后，它还会与命令与控制（C&C）服务器通信，该服务器将负责提供有关如何执行恶意软件说明。 据说 Qakbot 和 Emotet 可以感染网络共享文件夹和驱动器，包括可移动的 U 盘等。它们还可以使用服务器消息块（SMB）在其他机器上复制自己的副本。如果用户系统受到感染，微软建议断开与互联网连接以防止与（C&C）服务器通信。该公司还建议停止恶意软件的自动执行，并监控网络中断后可能的再次感染。 稿源：cnBeta，封面源自网络；

据 VentureBeat 报道，笔记本电脑制造商联想公司日前与美国联邦贸易委员会（FTC）达成和解，同意支付 350 万美元，并对其销售笔记本电脑的方式作出调整，以换取 FTC 撤销对其销售预装软件的指控，此举被指危及用户安全。美国当地时间 5 日，联想与康涅狄格州、联邦贸易委员会以及其他 31 个州达成上述协议。 联想预装的软件名为 VisualDiscovery，从 2014 年 8 月开始安装在数十万台联想笔记本电脑上，目的是提供弹出式广告。然而当用户试图访问恶意网站而弹出警告时，也被该软件阻止。 FTC 声称，VisualDiscovery 能够访问消费者的敏感信息，比如社会保障号码。当然，这些信息并没有发送给出售 VisualDiscovery 的厂商 Superfish。FTC 主席莫林·奥豪森（Maureen Ohlhausen）在一份声明中表示:“ 联想在预装软件时侵犯了消费者的隐私，在没有给出通知或获得用户同意的情况下就可访问消费者的敏感信息。这种行为导致的后果非常严重，因为该软件破坏了消费者依赖的网络安全保护。” 联想在声明中表示，公司在 2015 年初就已经停止销售预装软件。尽管我们不同意这些申诉中的指控，但我们很高兴在两年半后结束这件事 。到目前为止，我们还没有接到任何第三方利用这些漏洞来获取用户通讯信息的实例报告 ”。FTC 表示，作为和解协议的一部分，在安装这类软件之前，联想同意首先获得消费者的同意并对任何数据收集或捆绑广告软件给予用户确切通知，且同意在未来二十年内接受安全检查。 稿源：cnBeta、网易科技，封面源自网络；

美国有关单位 8 月 24 日表示，中国籍人士俞平安（Yu Pingan，音译）因被控窃取数百万美国政府雇员安全通关纪录于 21 日在洛杉矶国际机场被捕。 据悉，俞平安遭美国联邦刑事指控，即与其他黑客共谋使用恶意软件 Sakula 入侵联邦人事管理局（OPM）后窃取美国国家工作人员敏感信息。调查显示，该起事件首次于 2015 年曝光，其中逾 2000 万公民信息文档被盗，包括 560 万的指纹记录及 420 万美国政府雇员档案。此外，他还被指控向中国黑客提供高级恶意软件，后者则劫持了由 Microsoft 在韩国经营的合法领域。 美国联邦调查局表示，他们在截获俞平安的通讯记录中发现，该黑客早于 2011 年 4 月就已经开始以网名 GoldSun 与中国黑客讨论境外网络攻击与恶意软件使用的相关情况。另外，他们除了在愈平安使用的电子邮件  goldsun84823714@gmail.com 中发现恶意软件 Sakula 样本的解密密钥 “Goldsunfucker” 外，还证实了他在向攻击者提供恶意软件 Sakula 之前就已经与其他网络犯罪分子有过非法交易。目前，联邦调查局还在对该起事件进行深入调查。 本文根据 theregister.co 与 环球网 联合翻译整理，译者：青楚 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

国际知名安全软件评测机构 AV-TEST 近期发布 2016-2017 年安全检测报告，指出虽然 2016 年恶意软件样本数量较 2015 年减少，但恶意程序的复杂程度却有所增加。          AV-TEST 研究人员分别于 2015 与 2016 年检测到约 1.44 亿与 1.27 亿款恶意软件样本，其数量相较减少  14％。此外，研究人员日均检测到逾 35 万款新型恶意软件样本，相当于每秒钟产生 4 款新恶意软件样本。虽然在 Windows 恶意软件中，勒索软件占比不到 1%，但这种威胁造成的危害却极其严重。 与传统病毒相比，勒索软件无需获取高额利润，但涉及“高科技恶意软件”攻击，即在目标商业环境中寻找易受攻击设备。例如，带有勒索软件的电子邮件几乎都在工作日发出。与此同时，勒索软件也适用于大规模传播，例如勒索软件 WannaCry 于今年 5 月利用新型技术避免检测，感染 150 多个国家超过 23 万台 Windows 计算机。报告数据显示，勒索软件攻击数量在 2017 年第一季度达到峰值。 AV-TEST 报告显示，MacOS 恶意软件样本数量较 2015 年大幅增加（+370％），多数恶意软件为木马病毒。2017 年第一季度已确定 4000 多款新型 MacOS 恶意软件样本。然而，同样重要的是要注意恶意软件程序的总数，即 尽管 2015 年共有 819 款 MacOS 恶意软件，但 2016 年，苹果用户必须保护设备免受 3033 种恶意软件攻击。 此外，该报告还指出 Android 恶意软件数量于 2016 年翻一番，高达 400 多万。2016 年 6 月，AV-TEST 发现近 65 万款新型恶意软件样本，达到 Google 操作系统发布以来恶意软件样本数量的高峰值。 附：《 2016-2017 年恶意软件安全检测报告（ PDF ）》 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

北京时间 6 月 29 日早间消息，信息安全分析师指出，将 Petya 称作“勒索病毒”可能是不恰当的。这款恶意软件的代码和其他证据表明，Petya 的目的可能是针对乌克兰的网络展开间谍活动，而进行勒索只是一种伪装。 勒索病毒的基本规则是，如果你付款给攻击者，那么就可以拿回自己的数据。如果攻击者没有履行承诺，那么消息传出后将不会有人再支付赎金。那么，如果病毒导致数据完全不可找回，是否还可以称得上“勒索病毒”？因此，Petya 并不是勒索病毒，其动机并不是为了赚钱。考虑到 Peyta 起源于乌克兰的网络，因此一种推测是，Petya 的目的就是破坏这些网络。 随着关于这款病毒的更多信息曝光，这是许多专家提出的观点。Comae 的马特·苏奇（Matt Suiche）和其他人本周将 Petya 的代码与去年的类似攻击进行了比较。2017 年的 Petya 似乎经过了特别修改，通过改写硬盘的主引导记录，导致对用户数据的编码不可逆。攻击者的电子邮件地址似乎也已下线，导致受害者无法支付赎金。 来自伯克利国际计算机科学研究所的消息显示，Petya 是一种“蓄意、恶意、破坏性的攻击，也可能是伪装成勒索病毒的测试”。《连线》杂志报道称，乌克兰基辅的信息安全机构表示，攻击者已经在乌克兰的系统中存在几个月时间，很可能已掩盖了他们传播病毒的痕迹。（邱越） 稿源：，稿件以及封面源自网络

作为联邦快递（FedEx）旗下的一家子公司，席卷全球的 “Petya” 病毒已经对总部位于荷兰的 TNT Express 的运营造成了显著的影响：“虽然国际国内航运服务仍在运营，但延迟已经不可避免”。公告发布后不久，联邦快递选择了将股票暂时停牌，即便该公司旗下其他子公司并未受到影响。FedEx 在一份声明中解释称：“当前无法衡量服务中断造成的确切经济损失，但会尽快部署补救措施和应急计划，措施包括借助联邦快递自有服务来帮助 Express 递送积压的货物”。 Petya 病毒于近日跨欧洲大肆传播，波及了大量企业与服务，比如乌克兰央行的计算机系统、城市地铁、基辅机场、丹麦航运巨头马士基，甚至连切尔诺贝利核电站都切换到了手动辐射监测模式。 稿源：cnBeta.COM，封面源自网络

微软公司、网络安全分析师和乌克兰警方周三表示，新一轮影响全球的病毒袭击事件的源头，来自一家乌克兰的会计软件生产商 M.E.Doc。乌克兰警方负责网络犯罪部门本周二晚些时候表示，M.E.Doc 的软件升级中包含该病毒。同日，微软在一篇博文中表示，有证据显示用户在对该软件制造商的软件进行更新感染了病毒。 网络安全公司 FireEye 高级经理 John Miller 在一封电子邮件中表示，此次攻击中的所使用的一种病毒载体就是 M.E.Doc 生产的软件。卡巴斯基实验室首席安全专家 Aleks Gostev 同样证实，M.E.Doc似乎是恶意软件的来源。 据彭博社消息，M.E.Doc 并未就相关言论做出回应。在该公司的 Facebook 主页上，M.E.Doc 表示，“行业内主流的反病毒公司”已经对其软件进行了审查，证实了该公司对病毒的传播没有任何责任。该公司表示，像其他受害者一样，公司的服务也受到了此轮袭击的影响，并且正在努力恢复服中。 另据纽约时报报道，根据计算机安全公司赛门铁克的研究人员称，与五月份的 WannaCry 攻击一样，新的这一轮攻击同样使用美国国家安全局( National Security Agency )的黑客工具 Eternal Blue (永恒之蓝)，并辅之以其他两种传播方法来加速病毒的传播。美国国家安全局尚未承认其工具被用于 WannaCry 或其他攻击，但计算机安全专家正在要求该机构帮助全世界其他机构和公司创造的可以遏制病毒传播的工具。 周二爆发的新一轮网络袭击首先从乌克兰政府部门的网络系统开始，随后俄罗斯石油公司、英国广告商WPP和切尔诺贝利核电站等机构均报告称遭到袭击。受其影响最深的丹麦航运巨头马士基集团在进行了全面评估后，不得不选择关闭了整个网络系统。 稿源：cnBeta，第一财经；封面源自网络

加拿大维多利亚州警方在测速相机感染勒索软件后宣布撤销 8 千多个交通罚单。它的测速相机被发现感染了勒索软件 WannaCry，测速相机并没有联网，勒索软件病毒是通过维护工人使用的一个被感染的 U 盘传播到系统内的。感染日期是 6 月 6 日，警方一开始估计有 55 个测速相机暴露在病毒下，但之后数量增加到了 280 个。 病毒导致相机不断重启，警方表示没有迹象显示病毒会导致测速雷达的数据不正确，它决定撤销在感染期间发出的交通罚单。在确保相机工作正常后，警方可能会重新发出交通罚单。 稿源：cnBeta，封面源自网络

卡巴斯基近期发布一份安全报告，指出今年物联网（ IoT ）新增恶意软件攻击数量较 2016 年翻一番。 卡巴斯基研究人员利用若干台运行 Linux 联网设备的蜜罐于 5 月采集了超过 7,200 款不同恶意软件样本，即此类恶意软件均通过 Telnet 与 SSH 端口感染连接设备。与此同时，蜜罐捕获的多数攻击行为均来自 DVR 或 IP 摄像机（63％），远远超过网络设备与其他无法识别设备。 调查显示，攻击卡巴斯基蜜罐的 IP 地址来自不同地理位置，其中主要集中在中国、越南、俄罗斯、巴西与土耳其。目前，研究人员已从逾 11,000 个 IP 地址（多数在越南、台湾与巴西）检测到超过 200 万次攻击尝试。 研究人员表示，尽管卡巴斯基指出运行不安全 IoT 设备可能导致的其他风险（例如黑客利用家庭网络进行非法活动），但多数受感染设备还是被迫接入了僵尸网络。目前，针对 IoT 设备与相关安全事件的恶意软件数量与日俱增，充分说明了智能设备安全隐患的严重程度。 据悉，在数百万联网设备中，除了暴露的 Telnet 与 SSH 端口外，薄弱或默认的登录凭据问题也将加倍恶化。这主要是因为许多此类设备的存在将制造商置于弱势状态，尽管固件更新可用，但极少设备具有自动更新的机制。 卡巴斯基表示，部分设备确实以一种不安全的方式实现了 TR-069 协议的远程管理功能；但该协议基于 SOAP 设计，仅供操作人员远程管理设备使用。此外，研究人员还利用安全级别较低的管理员默认密码进行检测。在许多情况下，这些密码不仅适用于特定型号设备，而且与多家厂商产品线也极其相似。 附：卡巴斯基分析报告：《 Honeypots and the Internet of Things 》 原作者：Michael Mimoso， 译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接