熱門安全保護文章

謹防Michael Jackson一年死亡週年紀念垃圾郵件 為了慶祝我們這個時代最偉大的藝人之一的生活和遺產,世界各地的歌迷將再次尋找他們最喜歡的邁克爾·傑克遜(Michael Jackson)的歌曲,並在我們臨近其逝世週年紀念之際向流行音樂之王致敬。 在2009年6月25日邁克爾·傑克遜去世之後,我們開始目睹了新的垃圾郵件活動 ,這些活動利用了這位流行歌星傳說的意外死亡。邁克爾·傑克遜(Michael Jackson)死後僅幾個小時,我們就開始收到來自計算機用戶的電子郵件報告,這些報告聲稱其中包含有關MJ通過的信息,這些信息被發現是垃圾郵件。...
警告:針對Windows PC的威脅性BlackHole漏洞利用工具包現已免費提供給黑客 對於新手黑客和罪犯來說,聖誕節快到了,因為有人在不到30天的時間裡公開釋放了一個而不是兩個危險的惡意軟件工具,從而希望他們的騙子分子氾濫成災。 Zeus惡意軟件套件及其密碼一經以密碼保護的存檔形式提供,最近就已免費向公眾發布!就在地下世界開始安定下來時,還可以在地下論壇和共享網站(例如Hacker News)上免費下載較早版本的惡意漏洞利用工具BlackHole 。...
黑客攻擊花旗銀行竊取超過200,000名信用卡客戶的個人數據 儘管有關眾議員安東尼·韋納(Anthony Weiner)(DN.Y.)的在線性醜聞的新聞不斷出現,但又發生了另一起黑客事件,這次黑客入侵花旗銀行的計算機,竊取了帳號,姓名和聯繫信息。 花旗銀行是美國最大的四家銀行之一,大約一個月前發現了一條數據洩露事件,據稱已影響了超過20萬名信用卡客戶。 花旗銀行在最近的一份聲明中說:“在日常監控中,我們最近發現未經授權就可以在線訪問花旗帳戶,”花旗集團在一份準備好的聲明中說。 “查看了有限數量的Citi銀行卡客戶的會計信息(大約1%)(例如姓名,帳號和包括電子郵件地址的聯繫信息)。”...

熱門文章

GandCrab病毒

GandCrab勒索軟件是一種惡意軟件威脅,可以對受影響的計算機上的數據進行加密,並要求支付贖金以換取解密工具。該加密病毒於今年1月底首次出現,此後研究人員確定了GandCrab的幾種不同版本,其中包括GDCB,GandCrab v2,GandCrab v3,GandCrab v4和GandCrab v5。該勒索軟件的最新版本已於大約一個月前於2018年9月被發現。此勒索軟件的功能和加密機制自首次出現以來就得到了發展-最初的三個版本使用RSA和AES加密算法來鎖定受感染設備上的數據,版本4及更高版本使用了其他更複雜的密碼,例如Salsa20。惡意軟件研究人員認為,這樣做主要是出於速度方面的考慮,因為Salsa20密碼要快得多。選擇要加密的文件的模式也已發展。原始版本已檢查文件以針對特定的文件擴展名列表進行加密,而第二個及所有後續GandCrab版本則具有排除列表,並對未出現在該列表中的所有其他文件進行加密。所需贖金的數額也有所增加。 GandCrab主要通過垃圾郵件,漏洞利用工具包,偽造更新和破解的合法軟件進行分發。所有GandCrab案例的一個特徵是,該勒索軟件向加密文件添加了特定的擴展名。根據文件的惡意軟件感染計算機的類型,這些文件擴展名可以是.gdcb,.krab,.crab,.lock或5到10個隨機字母的組合。 GandCrab的初始版本在代碼中存在一個嚴重錯誤,該錯誤將解密密鑰保留在受感染計算機的內存中,因此一家反惡意軟件公司與Europol和羅馬尼亞警察合作,迅速開發了一個解密器並免費提供在NoMoreRansom.org上下載。但是,幾乎在此之後,惡意軟件作者已經發布了已修復該缺陷的更新版本,以便解密器不再適用於所有後續版本。目前,尚無針對當前發行的GandCrab勒索軟件的免費解密工具,因此用戶在網上沖浪或打開電子郵件時應格外小心。抵制勒索軟件的最佳技巧可能是將所有有價值的數據備份到外部存儲設備上。 GandCrab的前三個版本遵循基本例程...

于November 21, 2019發表在Ransomware

RobinHood勒索軟件

RobinHood勒索軟件(RobbinHood Ransomware或RobbinHood File Extension Ransomware)是一種勒索軟件木馬,用於以提高也門人民的知名度和資金為藉口來騷擾計算機用戶。實際上,沒有證據支持RobinHood Ransomware的創建者俱有利他動機的理論。騙子有可能使用RobinHood勒索軟件來牟利,就像大多數加密勒索軟件特洛伊木馬程序的創建者如今一樣。但是,對於RobinHood Ransomware而言,勒索要求非常高,因此,任何個人計算機用戶在遭受攻擊時都不太可能會支付RobinHood Ransomware勒索。採取預防措施來防範諸如RobinHood Ransomware之類的勒索軟件木馬,這種木馬正日益普及。 也門也有羅賓·胡德 RobinHood Ransomware感染幾乎沒有什麼不同。 RobinHood勒索軟件幾乎與大多數其他加密勒索軟件木馬相同。 RobinHood勒索軟件將加密受害者的文件,然後要求勒索贖金,以換取恢復受影響文件所必需的解密密鑰。 RobinHood勒索軟件包含聲稱為也門人民服務的消息,其中提及沙特阿拉伯在也門殺害無辜者。 RobinHood勒索軟件可以通過多種方式安裝在受害者的計算機上。與RobinHood Ransomware鏈接的最常見分發方法是損壞的網站和鏈接,通常使用垃圾郵件消息或社交媒體上的策略進行分發。 RobinHood勒索軟件包括一個宣傳圖片而不是標準的贖金票據,更改了受害者的桌面圖片,以反映其據稱為也門人民籌款的目的。 RobinHood勒索軟件將加密大量文件,尤其是針對與Microsoft Office相關的媒體文件,照片和文檔。 RobinHood Ransomware的桌面圖像顯示為“ HELP YEMEN”,並包含一條消息,指示受害者採取若干步驟進行恢復。 RobinHood...

于October 15, 2019發表在Ransomware

WannaCryptor或WanaCrypt0r勒索軟件

WannaCryptor或WanaCrypt0r勒索軟件 screenshot

WanaCrypt0r勒索軟件是一種加密木馬,具有類似於蠕蟲的攻擊策略。截至2017年5月12日,WanaCrypt0r勒索軟件被公認為是最具威脅性和最廣泛使用的加密木馬之一。WanaCrypt0r勒索軟件在第一版發佈到真實世界時成功入侵了一百四十個國家的數十萬個系統。攻擊的首當其衝是俄羅斯的PC用戶和英國的National Healthcare System。該木馬成功地阻止了對連接到國家醫療保健系統的大多數計算機的訪問,並且在俄羅斯記錄了涉及WanaCrypt0r勒索軟件的案例中近70%。 WanaCrypt0r勒索軟件是一個獨立的勒索軟件木馬,它能夠感染運行Windows XP和Windows Server 2003的易受攻擊的計算機。受害最大的國家是俄羅斯聯邦,烏克蘭,印度,英國和台灣。 誰在用WanaCrypt0r勒索攻擊背後? WanaCrypt0r Ransomware背後的惡意軟件作者利用了NSA發現的漏洞,該漏洞已被一群稱為“影子經紀人”的黑客出售。該小組希望出售NSA盜用的一套工具,但沒人願意購買他們的“產品”,因此該小組將所有可用資源上傳到Internet。顯然,WanaCrypt0r的創建者發現了一個漏洞,其代碼為CVE-2017-0145,又名“ EternalBlue”,該漏洞使程序員可以將專門製作的數據包發送到SMB服務器,並在接收器端執行損壞的代碼。攻擊者設法安裝了“ DoublePulsar”後門木馬,這使他們能夠將WanaCrypt0r勒索軟件引入受感染的計算機和與其連接的其他計算機。 WanaCrypt0r勒索軟件是持久威脅嗎?...

于October 15, 2019發表在Ransomware

更多文章

Krampus-3PC

Krampus-3PC是專門針對Apple移動設備的威脅。 Krampus-3PC惡意軟件的作者已確保對其威脅進行了多次檢查,以確定該設備是否由Apple製造。所有未使用Apple設備的用戶都可以倖免。 Krampus-3PC惡意軟件的另一個有趣特徵是,它可以完全在線運行。由於受影響的設備上不會留下任何不安全活動的痕跡,因此這使威脅可以非常安靜地開展活動。 傳播方式 Krampus-3PC威脅似乎是在惡意廣告活動的幫助下分發的。奇怪的是,Krampus-3PC的創建者沒有使用幕後的促銷網絡來執行此操作,而是利用了合法廣告公司的優勢。攻擊者使用了一種相當狡猾的技術來實現這一目標-與其選擇儘早添加損壞的代碼,不如儘早添加損壞的代碼。通過這樣做,攻擊者設法繞過了廣告網絡所採取的安全措施。由於有報導指出數百個合法博客,新聞出版物,涵蓋時事的論文等已受到威脅,並且在不知不覺中託管了Krampus-3PC威脅,因此這一技巧已被證明相當成功。 從用戶收集個人數據 如果您遇到了Krampus-3PC惡意軟件,您可能會很快注意到您正在通過各種網站重定向,直到它最終顯示一個用於仿冒用戶憑據的偽造頁面。 Krampus-3PC威脅使用的另一種技巧是向用戶顯示欺詐性的“雜貨店獎勵”消息。此虛假警報的目的是誘騙用戶提供其個人詳細信息,例如電話號碼,姓名,地址,電子郵件地址,等,除非他們不填寫詳細信息,否則他們將不會獲得獎金。如果用戶給出了他們的電話號碼,則攻擊者可能會開始用短信轟炸他們,其目的是獲得目標來提供其登錄憑據。 Krampus-3PC惡意軟件的作者在網絡犯罪領域可能很有經驗。根據用於確定移動設備製造商的方法,網絡安全研究人員得出的結論是,這種威脅很可能是一群高技能網絡騙子的產物。...

于December 12, 2019發表在Malware

游擊隊

如今,隨著全球智能手機的數量不斷增加,針對移動設備的惡意軟件類型也越來越多。其中包括一種威脅,通常稱為點擊欺詐。通常,點擊欺詐涉及網站的幕後管理員,該網站的廣告向低薪工人支付薪水,或者使用機器人點擊其網站上存在的廣告,以從在其平台上投放廣告的當事方產生更多收入。但是,點擊欺詐也可以採用其他形式,例如提高移動應用程序的統計數據。游擊隊威脅就是這種情況-這是一個Android木馬,其目標是劫持移動設備並使用它們來人工提取Google Play商店中託管的各種應用程序的統計信息。 傳播方式 游擊木馬的創建者一直在通過可在Google Play商店中找到的虛假應用程序分發此威脅。這使我們相信,此威脅的作者已經繞過了Google Play商店的開發人員成功進行的安全檢查。但是,有問題的應用程序沒有攜帶Guerilla Android Trojan的不安全有效載荷。相反,它們將作為下載器運行。一旦用戶下載並安裝了偽造的應用程序,它將迅速連接攻擊者的C&C(命令與控制)服務器,並獲取Guerilla Trojan的不安全有效載荷。 游擊惡意軟件的目的 當游擊惡意軟件啟動並運行時,它將消耗大量數據,因為對該威脅進行了編程,以查找託管在Google Play商店中的特定應用程序,將其下載並給予正面評價,然後將其刪除。因此用戶不會注意到他們的移動設備上發生了未經授權的活動。 除了攻擊的點擊欺詐之外,游擊威脅還可能對受感染的主機造成更大的破壞。這是因為Guerilla惡意軟件還可以充當特洛伊木馬,這將使其操作員在受感染的Android設備上植入其他威脅。...

于December 12, 2019發表在Malware

附加搜索

越來越多的網絡騙子對開發針對運行OSX的惡意軟件的系統感興趣。但是,還有其他針對Mac用戶的可疑個人。與成熟的網絡犯罪分子不同,這些可疑的參與者並不參與創建惡意軟件,而是發布低質量的應用程序和擴展程序,誇大其功能並故意誤導用戶。一個有效的例子是SearchAdditionally應用程序。此應用程序僅與運行OSX的設備兼容。 推送黑幕廣告並收集瀏覽數據 SearchAdditionally應用程序的作者聲稱,他們的創建將通過提供更多相關的結果來大大提高用戶的搜索結果。但是,事實並非如此。下載並安裝SearchAdditionally應用程序的用戶可能會被彈出窗口和各種廣告所吸引。諸如SearchAdditionally應用程序之類的陰暗應用程序傾向於通過推銷合法應用程序和廣告網絡不會推廣的狡猾服務和低質量產品來顯示廣告。除了用不需要的廣告轟炸用戶之外,SearchAdditionally工具還可以收集其Web瀏覽數據。此類信息通常出售給廣告網絡,或由SearchAdditionally應用程序的開發人員使用,以便他們可以向用戶提供更多相關的結果。 傳播方式 如果您偶然發現SearchAdditionally工具,則可能是瀏覽了為促進這項可疑服務而付費的狡猾網站。還可能將SearchAdditionally應用程序作為免費軟件捆綁包的一部分進行傳播。許多用戶在匆忙完成安裝過程而沒有註意重要細節的情況下,沒有註意到系統上正在植入其他軟件。...

于December 12, 2019發表在Adware

“ CRITICAL_PROCESS_DIED”彈出窗口

自Internet誕生以來,就已經存在在線計劃。網上騙子使用的無數技巧中包括虛假的技術支持策略。通常,這些策略會涉及虛假網站,該網站被設計為在用戶訪問欺詐性警報後立即顯示它們。這些警報傾向於聲稱用戶的系統已受到威脅的威脅或發生了系統錯誤。這是一種社會工程技巧,旨在迫使用戶採取他們通常不會採取的措施。這些策略之一為用戶提供了“停止代碼:CRITICAL_PROCESS_DIED”消息。接下來,建議用戶立即與“ Microsoft支持”聯繫以解決問題。但是,威嚇性警報是不合法的,並且向用戶提供的電話號碼與Microsoft Corporation無關。 騙子們傾向於推假產品和假技術支持 大多數宣傳策略的騙子聲稱用戶的系統處於嚴重危險中,他們傾向於嘗試推銷昂貴的,偽造的反惡意軟件解決方案,這些解決方案無法為用戶提供任何價值。有些甚至試圖讓用戶訂閱價格過高且無用的技術支持,他們聲稱這將在系統可能遇到的任何技術緊急情況下為他們提供幫助。但是,“ CRITICAL_PROCESS_DIED”策略背後的狡猾參與者會為用戶提供一個欺詐性網站,該網站會敦促用戶將其登錄憑據填寫到空白字段中,這是一種典型的網絡釣魚攻擊。網絡騙子往往會收集用戶的登錄憑據,或者將其出售給其他網絡罪犯,或者將其用於不安全的目的;無論哪種方式,其數據已被洩露的用戶都將面臨嚴重的麻煩。 “ CRITICAL_PROCESS_DIED”騙局的作者提供了一個電話號碼,敦促用戶與他們聯繫(855)723-3755。儘管騙子們聲稱這是一個電話號碼,將為用戶提供Microsoft團隊的技術支持,但是一旦您使用搜索引擎查找有問題的電話號碼,您將看到許多來自用戶的報告,指出使用此電話號碼操作的個人負責各種騙局。...

于December 12, 2019發表在Adware

Ard積

霍華迪(Hoardy)後門特洛伊木馬是一種威脅,已在針對高知名度個人的幾次攻擊中使用。該木馬是一個名為跳蚤組織的黑客組織的創建,其最臭名昭著的戰役是在2014年G20峰會之前進行的,針對的是高級政客。此後,Hoardy後門特洛伊木馬程序已被用於其他一些陰暗的操作中。通常,採用Hoardy後門的黑客攻擊活動不會持續很長時間,這使專家們認為,攻擊者的目標很可能會迅速獲取盡可能多的信息,並停止行動以繼續留在受害者的雷達之下。 傳播方式 為了傳播Hoardy後門特洛伊木馬,跳蚤黑客組織正在使用網絡釣魚電子郵件,他們將這些電子郵件專門定制為看起來合法。目標將收到一封電子郵件,其中包含已損壞的,宏觀修飾的附件,被屏蔽為無害的Microsoft Office文檔。敦促用戶啟動附件,如果他們屈從了,文檔中隱藏的宏腳本會將Hoardy後門特洛伊木馬植入目標系統。 能力 Hoardy木馬通過篡改Windows註冊表系統來確保對受感染計算機的持久性,這將確保計算機啟動後立即啟動威脅。接下來,Hoardy木馬將與操作員的C&C(命令與控制)服務器建立連接。 Hoardy後門特洛伊木馬程序經過編程,可以收集有關受感染系統的基本數據,然後將收集到的信息洩露給攻擊者的C&C服務器。 Hoardy後門木馬能夠: 在受感染的計算機上執行遠程命令。 從其操作員的C&C服務器上載和啟動文件。 從特定的URL下載並啟動文件。 自我更新。 自行刪除。 儘管跳蚤黑客組織傾向於追求高調的目標,但是Hoardy後門特洛伊木馬在功能上並不令人印象深刻。 Hoardy...

于December 11, 2019發表在Backdoors

哈列西

信息竊取者是全球網絡犯罪分子最喜歡的黑客工具之一。這是因為這種惡意軟件類型通常規模很小,這使其可以執行可能非常成功的靜默操作。信息竊取者可以允許其操作員從郵件應用程序,電子郵件客戶端,網頁等收集信息。通常,信息竊取者連接到其創建者的C&C(命令與控制)服務器,並虹吸所有收集的數據,直接發給攻擊者。 Khalesi惡意軟件屬於infostealer類,它似乎在野外活躍。 傳播與持久性 Khalesi信息竊取程序很可能通過多種分發方式進行傳播,例如惡意廣告活動,虛假應用程序下載,垃圾郵件活動,盜版媒體和軟件等。仍然忽略了其係統上存在惡意軟件的事實。在破壞主機後,Khalei信息竊取者將通過創建Windows計劃任務來獲得持久性。這樣可以確保即使用戶重新啟動計算機,Khalesi信息竊取程序也將在PC再次打開後立即運行。 Khalesi信息竊取程序收集的數據將立即存儲在%TEMP%文件夾中。然後,收集到的數據將被洩漏到攻擊者的C&C服務器。 能力 已知該信息竊取者從以下方面收集數據: 加密貨幣錢包: Namecoin。 以太坊。 門羅。 電子琴。 字節幣。 遊戲平台: Battle.Net。 蒸汽。 郵件應用程序: 不和諧。 Skype。 電報。 PSI。 皮金 網頁瀏覽器: 谷歌瀏覽器。 火狐瀏覽器。 IE瀏覽器。 基於鉻的瀏覽器。 為了避免惡意軟件分析人員對它們的創建進行剖析,Khalei信息竊取程序的作者已確保威脅能夠檢測到它是否在沙盒環境中運行。這是通過檢查主機上是否有可能與惡意軟件調試鏈接的軟件來完成的。如果測試結果為陽性,則Khalesi信息竊取者將停止操作並停止所有活動。...

于December 11, 2019發表在Malware

TheEasyWayPro

有許多Web瀏覽器擴展聲稱可以執行各種有用的任務,但是其中很多都不是它們聲稱的那樣。 TheEasyWayPro是一個很好的例子。該Web瀏覽器擴展聲明它將為用戶提供有用的指導和方便的地圖。此擴展程序的開發人員可能針對經常遠足或喜歡旅行的用戶。但是,TheEasyWayPro擴展程序並未為其用戶提供任何獨特的功能。相反,此擴展程序利用了現有的免費服務,例如Google Maps。這意味著無需安裝TheEasyWayPro即可使用其提供的服務,因為它們已經免費且可公開使用。 更改用戶的默認搜索引擎 選擇將TheEasyWayPro添加到其Web瀏覽器的用戶可能會遇到一些令人沮喪的效果。 TheEasyWayPro擴展程序可能會篡改其Web瀏覽器的設置,並用其選擇的一個(即Srchbar.com)替換您的默認搜索引擎。這並不算是不安全的活動,但它具有侵入性,並且可能會降低您的Web瀏覽質量。 歸類為PUP 儘管未歸類為惡意軟件,但防病毒解決方案已將此Web瀏覽器擴展標記為PUP(可能不需要的程序)。這是由於TheEasyWayPro擴展程序聲稱自己沒有提供任何唯一值給用戶。由於TheEasyWayPro沒有提供任何有用的工具,並且在未警告用戶或徵得其同意的情況下更改了用戶的Web瀏覽器設置,因此建議用戶刪除該擴展。...

于December 11, 2019發表在Potentially Unwanted Programs

Startrafficc.com

Startrafficc.com網站是一個晦澀的網頁,它使用可疑的策略欺騙用戶執行他們原本不會執行的操作。換句話說,Startrafficc.com的管理員利用各種社會工程手段來實現他們的目標。有時,可疑網站的管理員會使用其平台來傳播威脅性惡意軟件,這些惡意軟件可能會嚴重損害用戶的系統。但是,Startrafficc.com網站的運營商不會採取這種完全不安全的策略。相反,他們使用自己的網站向用戶發送垃圾廣告。 社會工程技巧 Startrafficc.com頁面的運營商聲稱,如果用戶希望查看其網站上託管的內容,則需要單擊向其顯示的“允許”按鈕。如果用戶不喜歡它,然後單擊“允許”按鈕,他們將使Startrafficc.com頁面能夠向他們發送Web瀏覽器通知。 Startrafficc.com網站包中的另一個竅門是試圖誤導用戶單擊“允許”按鈕,聲稱這是讓他們確認自己已年滿18歲的一種方法。這可能會誘使某些用戶認為,如果他們單擊“允許”按鈕,將會觀看成人內容。但是,通過單擊按鈕,用戶將使Startrafficc.com網站啟用Web瀏覽器通知,以使它們混亂。 推廣狡猾的產品和服務 要求顯示Web瀏覽器通知的顯示權限並不總是一個陰招–知名網站使用Web瀏覽器通知為訪問者提供有用和有用的信息。但是,對於類似Startrafficc.com頁面之類的可疑網站而言,情況並非如此。這個陰暗的網站可能會宣傳合法的網頁不會同意推廣的狡猾的服務或低質量的產品。諸如Startrafficc.com頁面之類的網站也經常參與將PUP(潛在有害程序)或其他潛在不安全軟件推送到其訪問者上。...

于December 11, 2019發表在Browser Hijackers

代碼紅色蠕蟲

紅色代碼(CodeRed)是一種計算機蠕蟲,早在2000年代初期就影響了MS ISS Web服務器。在其流行的頂峰時期,它影響了將近一半的主機系統。 紅色代碼使用較舊的ISS Web服務器的簡單但有效的漏洞。該蠕蟲通過使用特別長的符號字符串(在這種情況下為netter N)來溢出軟件緩衝區,從而導致緩衝區溢出。反過來,這又允許惡意軟件執行所需的任意代碼並進一步傳播,同時使進程中的主機遭受破壞。 感染了Code Red蠕蟲的服務器的頁面已替換為以下文本: 你好!歡迎使用http:// www點蠕蟲dot com!被中國人砍死! 蠕蟲的設置方式還使其可以根據受害者的系統時鐘,根據每月的一天執行不同的任務。在每個月的前19天,紅色代碼將嘗試將自身傳播到新系統,在線搜索更多ISS服務器。在20日到27日之間,蠕蟲會在包括白宮在內的許多預定Web服務器上發起DoS攻擊。在每個月的最後幾天,紅色代碼將什麼也不做。 在首次發現並找出Code...

于December 11, 2019發表在Worms

誤導:Win32 / Lodi!MSR

Windows Defender防病毒使用Mislead-ing:Win32 / Lod!MSR檢測名稱來表示用戶系統上可能存在的潛在威脅。至關重要的是,威脅的檢測不是基於軟件或文件本身的關鍵部分,而是應採用啟發式方法來識別潛在的不安全行為。每個合法的反惡意軟件應用程序在查找和識別用戶計算機上可能存在的潛在惡意軟件時都使用這種技術。但是,即使上述防病毒工具預先向您發送了Misleading:Win32 / Lod!MSR檢測警報,也不表示您的系統上必然存在不安全的活動。有時,從可靠來源下載的無害文件可能會觸發誤報,並產生Mislead-ing:Win32 / Lod!MSR警報。 使用第三方安全工具掃描有問題的文件 但是,儘管不能保證在您出現Misleading:Win32 / Lod!MSR警報時,您的計算機上仍然存在問題,但忽略Windows De的警告仍然不是一個好主意。 -fender防病毒軟件。如果您碰巧看到此警報,即使是關於您認為安全的文件,也最好使用第三方反惡意軟件工具來掃描已標記為可疑行為的文件。 通常,“誤導:Win32 / Lod!MSR”警報似乎令人生畏,但請不要忘記,有時它可能會無意間擴大威脅範圍,甚至標記完全無害的文件。有時,警報可能與磁盤清理,註冊表優化等有關。PUP(可能有害的程序)可能會產生Misleading:Win32 / Lod!MSR警報,最好在以下位置刪除PUP:立即從系統中提問。如果收到“誤導:Win32 /...

于December 10, 2019發表在Misleading Programs

蘋果公司

網絡騙子對創建針對運行OSX的設備的威脅越來越感興趣。網絡安全專家發現的這種最新威脅之一就是AppleJeus。 AppleJeus威脅是具有若干有趣功能的特洛伊木馬後門。 AppleJeus木馬的作者正在使用偽造的數字資產貨幣交易所進行傳播。敦促任何想要使用該服務的用戶下載數字資產交易平台。但是,一旦用戶下載並安裝文件,AppleJeus Trojan後門將被靜默植入到他們的系統中。除了針對Mac電腦的這種威脅的變體之外,澳大利亞政府還開發了一種仿效Win-dows系統的仿製品。 Windows威脅的變種沒有任何令人印象深刻的品質,但是OSX副本具有一些令人好奇的方面,值得探討。 損壞的文件託管在GitHub上 為了欺騙用戶並破壞他們的系統,Ap-pleJeus Trojan後門被屏蔽為名為“ Celas”或“ JMT Trading”的虛假交易所。這兩項服務都是組合在一起的,沒有與任何真正的公司或企業鏈接。 AppleJeus後門程序的創建者選擇將威脅的損壞文件託管在合法平台GitHub上。該文件的名稱是“ JMT-Trader.pkg”。該威脅的作者將這個文件託管在GitHub這樣的信譽良好的平台上,這一事實可能會欺騙某些用戶,使他們認為沒有任何麻煩可言,並且該服務是真實的。 獲得持久性 為了在混亂的主機上保持持久性,Ap-pleJeus後門將使用安裝腳本部署文件集合,然後生成一個新的啟動守護程序,該守護程序將確保每次重新啟動計算機時威脅都在運行。完成攻擊的此步驟需要管理員特權,但這對於威脅的作者來說不是問題。 AppleJeus Trojan後門程序將向用戶顯示提示,敦促他們填寫管理員憑據並為安裝開綠燈。 儘管威脅可以執行的命令列表很短,但對於攻擊者而言,它們足以對受感染機器完全控制。 AppleJeus後門可以: 將文件上傳到受感染的主機。 在受感染的主機上執行文件。 在受感染的主機上執行遠程命令。 自我終結。...

于December 10, 2019發表在Backdoors

Lazarus勒索軟件

Lazarus Ransomware是一種新的文件鎖定木馬,已被專家廣泛發現。就像大多數這種類型的惡意軟件一樣,Lazarus Ransomware將對您的計算機進行承諾,偷偷地鎖定您的文件,然后索要資金以換取解密密鑰,該解密密鑰可以消除對數據造成的破壞。 傳播和加密 目前尚不清楚在Lazarus Ransomware的傳播中使用了哪些感染媒介,或者該威脅的作者是否將某些地區或人口作為目標。 Lazarus Ransomware的創建者很可能使用偽造的電子郵件來分發此數據鎖定特洛伊木馬。這樣的垃圾郵件運動通常會包含誤導性的欺詐性消息和看似無害的附件,而附件實際上是宏觀的。打開包含宏的附件可能會導致您的系統感染了Lazarus Ransomware。其他類似的分發技術是洪流跟踪器,偽造的盜版媒體和軟件,虛假的應用程序更新和下載等。Lazarus Ransomware的目標是各種各樣的文件,因此請放心所有圖像,音頻文件,視頻,文檔,演示文稿,電子表格,數據庫,檔案和其他流行文件將最肯定地被這個討厭的特洛伊木馬加密。當Lazarus Ransomware鎖定文件時,它還會在文件名的末尾附加新的擴展名-'[ ] [recoverydata52@protonmail.com]。 贖金記錄 當Lazarus Ransomware完成加密過程後,它將使用臭名昭著的Petya Ransomware活動中使用的圖像來更改受害者的牆紙。幸運的是,Lazarus勒索軟件絕不隸屬於功能更強大且危險程度更高的Petya勒索軟件 。贖金消息可以在名為“ ReadMe.txt”的文件中找到。在該消息中,Lazarus Ransomware的作者聲明他們願意免費解密一個文件,以便使用戶確信他們能夠恢復損壞的數據。受害人有望通過“ recoverydata52@protonmail.com”上的電子郵件或通過Tel-egram即時消息服務@ book545與攻擊者聯繫。 與Lazarus...

于December 10, 2019發表在Ransomware

Microsoft-one.com

網絡犯罪書籍中最受青睞的技巧之一是模仿合法的服務或產品來欺騙毫無戒心的用戶。 Microsoft-one.com的作者完全做到了這一點-他們對網頁進行了裁剪,使其類似於真實的Microsoft網站,以便用戶不會質疑其合法性並盲目地信任它。 產生假警報 如果您訪問過Microsoft-one.com網站,則可能是瀏覽了低質量的內容。通常,晦澀難懂的網頁與可推銷所有可疑內容的可疑廣告網絡配合使用,而且很可能它們也參與了Microsoft-one.com網站的推廣。啟動Microsoft-one.com網站的主頁後,用戶將被重定向到Microsoft的官方網頁。此技巧可能意味著說服用戶相信Microsoft-one.com網站的合法性。這聽起來可能不太麻煩,但是Microsoft-one.com網站的輔助人員並不止於此。他們在Microsoft-one.com頁面上建立了子目錄,這些目錄顯示虛假的彈出窗口,試圖說服用戶盡快更新其Microsoft Office或Windows Antivi-rus服務。 避開要求您安裝軟件或應用更新的網站 用戶應記住,可以直接從應用程序本身更新Windows服務(例如Windows Antivirus或Microsoft Office),並且沒有理由在其他地方查找更新。此外,請記住,敦促您安裝軟件或應用更新的網站不應該被信任,因為通常情況下會發生某些事情。專家們尚未設法確定Microsoft-one.com網站試圖傳播哪種軟件,但我們強烈建議您遠離它。這個陰暗的網站可能正在嘗試將PUP(可能不需要的程序)推送給用戶。但是,Microsoft-one.com網頁的管理員也可能參與分發更具威脅性的軟件,例如勒索軟件或各種特洛伊木馬。...

于December 10, 2019發表在Browser Hijackers

Rex-news1.club

許多可疑的在線演員創建網站的唯一目的是通過瀏覽器的通知功能向用戶發送不需要的廣告。參與此行為的網站之一是Rex-news1.club頁面。 垃圾郵件用戶的垃圾廣告 Rex-news1.club網站的管理員的主要目標是誘騙用戶讓他們按權限顯示Web瀏覽器通知。諸如Rex-news1.club網頁之類的陰暗網站的創建者經常利用各種社會工程技巧來實現其目標。 Rex-news1.club網站的訪問者被誤認為該網站託管了有趣的內容,如果要查看該內容,則必須單擊“允許”按鈕以啟用媒體播放器。但是,媒體播放器是假的,單擊“ Al-low”按鈕將僅使Rex-news1.club網站的操作員能夠通過Web瀏覽器通知開始向您發送垃圾廣告。合法的網頁將通知用於各種有利於其訪問者的目的,而Rex-news1.club網站的唯一目標是通過不斷的廣告宣傳各種狡猾的服務和低質量的產品。不僅會向您展示不相關的廣告,而且還會推銷一些非常陰暗的內容,例如成人視頻,流媒體非法盜版媒體的網站,虛假贈品等。...

于December 10, 2019發表在Browser Hijackers

IconDown

全世界許多網絡騙子都依賴Trojan下載程序來滲透目標系統並向其中註入其他惡意軟件。為了使惡意軟件研究人員的工作更加困難,傳播特洛伊木馬下載程序的參與者通常會嚴重混淆其代碼,並使其創作看起來無害。這樣,特洛伊木馬下載程序可能會成功避免反惡意軟件工具的檢測和安全檢查。最近,網絡安全專家發現了一個新的Trojan下載程序,聲稱其在線受害者-IconDown。 IconDown下載器被認為是一個名為BlackTech的黑客組織的創建。 針對日本的企業 BlackTech黑客集團被認為起源於亞洲,因為他們的大多數目標都位於該地區。惡意軟件專家一直在關注BlackTech小組,而且很明顯,他們傾向於主要關注在各個行業運營的日本公司。 IconDown Trojan下載器的功能並不出色,但是在混淆這種威脅的目的時,BlackTech黑客組織已實施了一種有趣的技術。此方法稱為隱寫術。 使用隱寫術進行攻擊 BlackTech黑客小組似乎使用了精心設計的網絡釣魚電子郵件來滲透目標主機。這些電子郵件將包含損壞的附加文檔,該文檔在啟動時將觸發IconDown威脅的有效負載的執行。接下來,IconDown Trojan下載程序將使用隱寫術來獲取次要有效載荷,該威脅旨在將其植入受感染的系統中。該下載程序獲取包含特定字符串的圖像,這有助於查找256字節的數據,這些數據用作攻擊者所需的RC4密鑰。然後,將找到IconDown下載程序從圖像文件中需要的其餘數據,並將其收集到Portable Executable文件中並啟動。...

于December 9, 2019發表在Trojan Downloader
1 2 3 4 5 6 7 8 9 10 11 28