5月8日,火绒实验室截获新型后门病毒。该病毒破坏性极强,入侵用户电脑后会执行多种病毒模块,以窃取用户比特币、门罗币等主流虚拟货币的数据信息,同时利用用户电脑疯狂挖矿(生产“门罗币”),并且还会通过远程操控伺机对用户进行勒索。
随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火爆也伴随着挖矿黑产的兴起,不法分子将木马悄悄植入用户计算机、网页之中非法牟利。
众所周知,勒索病毒等新型恶性病毒,常通过邮件来传播,“邮件欺诈——病毒下载器——恶性病毒”是目前最常见的传播方式。
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
根据C:/Windows/System32/b.txt产生的老的连接状态日志发现有大量外发扫描1433端口判断可能是通过SQL Server弱密码进来的。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/134798.html原文链接:https://javaforall.cn
脚本病毒是一个一直以来就存在,且长期活跃着的一种与PE病毒完全不同的一类病毒类型,其制作的门槛低、混淆加密方式的千变万化,容易传播、容易躲避检测,不为广大网民熟知等诸多特性,都深深吸引着各色各样的恶意软件制作者 … 小到一个不起眼的lnk快捷方式,大到一个word文档,都是脚本的载体。本文主要以 js脚本为例(特指JScript,下同 ),具体结合实际样本,讲述混淆方式及其混淆类型检测相关知识,文章受限于样本个数及其种类,存在一定的局限性,但大致情况应当不会相差太大。本系列首先会对jscript及其脚本进行
此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端。
Avaddon勒索病毒被笔者称为2020年全球十大流行勒索病毒之一,其首次出现于2020年6月在俄罗斯某地下黑客论坛开始出售,该勒索病毒使用C++语言进行编写,采用RSA-2048和AES-256加密算法对文件进行加密,该勒索病毒的传播方式多种多样,前期主要通过垃圾邮件附件JS/PowerShell恶意脚本等无文件技术进行传播,免杀效果非常好,发展到后面通过Phorpiex僵尸网络进行传播,同时还发现该勒索病毒通过垃圾邮件附带Excel4.0宏恶意代码进行传播。
0x00 概述 近日,腾讯反病毒实验室拦截到一个名为RAA的敲诈者木马,其所有的功能均在JS脚本里完成。这有别于过往敲诈者仅把JS脚本当作一个下载器,去下载和执行真正的敲诈者木马。采用JS脚本编写木马,混淆加密更加容易,并且增加了杀软的查杀难度,敲诈者木马与杀软的对抗进一步升级。但是经分析,发现名为RAA的敲诈者木马在部分场景下存在逻辑缺陷,可实现对加密文档的解密。 解密工具:<点击文末阅读原文按钮下载解密工具> 0x01 样本分析 1、运行JS后,首先会在My Documents目录下释放一个假文档,文件
大家好,又见面了,我是你们的朋友全栈君。 网页挂马 将木马程序上传到网站,使用木马生成器生成一个网马,放到网页空间,在添加代码使木马在网页打开时运行 1.常见的几种方式 将木马伪装成页面元素,木马被浏览器自动加载到本地 利用脚本运行的漏洞下载木马 利用脚本运行的漏洞释放隐含在网页脚本中的木马 将木马伪装成缺失的组件。或和缺失的组件绑在一起(flash播放插件等) 通过脚本运行调用某些com组件,利用其漏洞下载木马 在渲染页面内容的过程中利用格式溢出释放木马(ani格式溢出漏洞等) 在渲染页面内容的过程
注意,图中红线以下大家千万别触碰,我们作为安全人员或白帽子主要是在红线以上去获取信息,再报告相关单位或提醒相关网站进行漏洞修复,尤其是拒绝服务,其破坏性非常大。
作者前文介绍了Windows PE病毒, 包括PE病毒原理、分类及感染方式详解;这篇文章将讲解简单的病毒原理和防御知识,并通过批处理代码和漏洞(CVE-2018-20250)利用让大家感受下病毒攻击的过程,包括自动启、修改密码、定时关机、蓝屏、进程关闭等功能,同时提出了安全相关建议。这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章(尤其感谢千峰教育史密斯老师 [峰哥]),并结合自己的经验和实践进行撰写,也推荐大家阅读参考文献。
WordPress是一款使用PHP语言开发的博客平台,用户架设属于自己的博客,也可以把 WordPress当作一个内容管理系统(CMS)来使用。近几个月,WordPress安全漏洞事件频发,包括 免费主题暗藏后门,波及WordPress等知名CMS系统,WordPress 4.0以下版本存在跨站脚本漏洞。而现在,一款广泛传播的恶意软件已经感染了100,000多个WordPress网站,而且数字仍在增加。 Google将超过11,000个域名纳入黑名单 消息先是周日早上在WordPress社区传播,起因是
看小电影的要小心挖矿的。 随着数字加密货币价格的持续暴涨,“发家致富靠挖矿”在币圈疯传。一时间,各种挖矿教程风靡全球,更可怕的是,很多路人看个小电影、蹭个WiFi的时候,其实已经被迫成为挖矿一员。同时,AMD、NVIDIA及各路显卡商无需卖力宣传,显卡产品持续售空,躺着赚钱。 那么,这个让大家疯狂追捧的赚钱利器:挖矿,到底是什么?它又把多少人给拉下水? 让人一夜暴富的“挖矿”真面目 简单来说,“挖矿”就是利用芯片,主要是GPU,进行一个与随机数相关的计算,得到一个答案换取一个虚拟币,虚拟币可以通过某种途经换
XSS中文叫做跨站脚本攻击(Cross-site scripting),本名应该缩写为CSS,但是由于CSS(Cascading Style Sheets,层叠样式脚本)重名,所以更名为XSS。XSS(跨站脚本攻击)主要基于javascript(js)来完成恶意的攻击行为。
网页挂马的实质是利用 漏洞向用户传播 木马下载器,当我们更清楚了这点就能做到有效的防范。
什么是WebAssemblely WebAssembly是一种运行在现代网络浏览器中的新型代码并且提供新的性能特性和效果。它设计的目的不是为了手写代码而是为诸如C、C++和Rust等低级源语言提供一个高效的编译目标。 对于网络平台而言,这具有巨大的意义——这为客户端app提供了一种在网络平台以接近本地速度的方式运行多种语言编写的代码的方式;在这之前,客户端app是不可能做到的。 目标 快速,高效,可移植--通过利用通用的硬件功能,可以在不同的平台上以接近原生代码执行的速度执行WebAssembly代码。
处理勒索病毒应急响应事件的时候,会发现了一些有趣的事情,分享给大家,看看现在的勒索病毒运营团伙是如何“暴力勒索、毁尸灭迹”运作一条龙。
自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多陌生人。
一、病毒与安全防护 1.计算机病毒的特征 (1)潜伏阶段 病毒处于未运行状态,一般需要通过某个事件来激活如:一个时间点、一个程序或文件的存在、寄主程序的运行、或者磁盘的容量超出某个限制等。 不是所有的病毒都要经过这个阶段。 (2)繁殖阶段 病毒将自己的副本放入其他程序或者磁盘上特定系统区域,使得程序包含病毒的一个副本,即对程序进行感染。 (3)触发阶段 由于各种可能的触发条件的满足,导致病毒被激活,以执行病毒程序预设的功能。 (4)执行阶段 病毒程序预设的功能被完成。 2.病毒的命
黑客:英文名Hacker,原来指的是热心于研究电脑技术、熟练掌握电脑编程技术并且水平高超的电脑专家,是“好”的,现在,黑客已经成为那些专门利用电脑网络搞破坏或者恶作剧的人的代名词。
近日国外某独立安全研究员(专门从事恶意样本分析工作),发现了一款新型的勒索病毒,这款勒索病毒使用了高强度代码混淆手段,会修改桌面背景,这种手法与之前的GandCrab和Sodinokibi两款勒索病毒非常类似,这款勒索病毒的勒索提示信息使用了德语,这种使用德语提示信息的勒索病毒在之前发现的勒索病毒家族中是比较少见的,之前报告我就说过,GandCrab勒索病毒的故事虽然结束了,但后面会有越来越多的像GandCrab的黑产团伙出现,因为只要有利益的地方,就会有黑产。
在众多网站上线后出现的安全漏洞问题非常明显,作为网站安全公司的主管我想给大家分享下在日常网站维护中碰到的一些防护黑客攻击的建议,希望大家的网站都能正常稳定运行免遭黑客攻击。
*本文原创作者:langyajiekou,本文属FreeBuf原创奖励计划,未经许可禁止转载 📷 前段时间突然收到一个客户的电话,报告说她的电脑出了问题,所有文件都无法打开了,据她们自己的IT人员发现所有文件都多了一个.zepto的扩展名。 我当时一听到就咯噔一声,糟了,中勒索软件了,zepto是个新的变种,隶属于Locky家族。说实话,最怕听到有客户机器感染此类勒索软件,基本没有办法可以修复,如果数据非常重要,而又没有恰当的备份,简直就是灾难级别的事故。没有办法,只好放下手中的工作立即赶过
背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件。 引言 攻击者,通过社工(社会工程),
很多人要成为高大上的黑客需要学习哪些基本功? 能盗取账号,能攻击服务器? 再牛的黑客起码是一个合格的程序员 所以说想成为黑客先成为合格的程序再说,说别的就是空谈了。大家对黑客的印象就是酷酷的,能轻松破解密码,攻击服务器。本文尝试分析下一个合格的黑客需要具备哪些基本功。 汇编知识 这个主要用在破解软件和攻击服务器使用,特别是在破解软件的时候用的比较多,稍微懂点计算机知识的小伙伴应该知道,在电脑上运行的程序都会生成机器语言,所以想破解直接面对的就是一堆二进制文件,也就是只有机器能看懂的语言。在目前的语言体系中,
摘 要 最近安恒APT团队截获一个新版的LOCKY勒索者病毒样本,区别之前大多数样本采用WORD文档投递并用宏代码远程下载执行的方式,该样本在原有的WORD文档基础上再加一层PDF“壳”较有新意。其整
近日,网上发现多起利用新型冠状病毒肺炎疫情相关热词开展的网络攻击行为。一些黑客制造并大肆传播一系列电脑病毒,这些病毒均带有“冠状病毒”、“疫情”、“武汉”等热门字样,可使电脑声音被窃听,文件被窃取,某些版本的病毒还会删除操作系统核心文件导致无法开机。目前,该系列病毒正通过社交网络悄然蔓延。请密切关注,做好安全防范措施。
开源情报曾在上月初发布了永恒之蓝下载器挖矿木马的更新攻击事件—“黑球”行动,其中就有提到它利用带有Office漏洞CVE-2017-8570漏洞的doc文档作为附件的垃圾邮件进行攻击,然后通过执行PowerShell命令下载和安装挖矿相关的恶意计划任务,相关的垃圾邮件具体信息如下:
Bleeping Computer 网站披露,9 月初,Magniber 勒索软件运营商创建了宣传网站,力推 Windows 10 虚假的安全更新文件,一旦用户下载了包含 JavaScript 的恶意文件(ZIP档案),其文件就会遭到勒索软件加密。
摘要 近日安恒APT团队截获到一批(300多个)各种类别冒充为黑客破解版本的APK样本: 经过分析为Coinhive网站挖矿API在android平台的滥用,Coinhive其初衷是为消除网站各种烦人
近日,腾讯主机安全(云镜)捕获到YAPI远程代码执行0day漏洞在野利用,该攻击正在扩散。受YAPI远程代码执行0day漏洞影响,大量未部署任何安全防护系统的云主机已经失陷。 为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。 漏洞详情 YAPI接口管理平台是国内某旅行网站的大前端技术中心开源项目,为前端后台开发与测试人员提供更优雅的接口管理服务,该系统被国内较多知名互联网企业所采用。 YAPI使用mock数据/脚本作为中间交互层,其中
反病毒虚拟机是一个很有优势的工具,可以说反病毒软件是否存在模拟器是衡量反病毒软件能力的一个指标。反病毒虚拟机不光是内嵌在反病毒软件内部,来动态执行样本。这种虚拟机一般也可以单独用来动态执行批量样本,检
分析恶意软件的第一步是收集二进制程序在主机上执行的行为事件,研究人员根据这些行为大体形成一个思路来描述恶意软件的功能。
近日,火绒安全实验室发出警报,病毒团伙正在利用多款热门游戏疯狂传播后门病毒“Backdoor/Jsctrl”,每天有数十万台电脑受到感染。感染病毒之后,病毒制作者可随时通过远程指令对电脑做出下载其他病毒程序、劫持流量在内的多种破坏行为,牟取利益。
Linux环境下的恶意软件大部分以shell脚本作为母体文件进行传播,而且,同一个病毒家族所使用的的恶意脚本往往具有极高相似性,新变种的脚本大部分是在旧变种脚本的基础上进行修改,新增或替换部分关键恶意代码,同时,不同家族之间的恶意脚本也可能出现代码互相借鉴,部分重合的情况。
[🛠️项目](https://www.reddit.com/r/rust/?f=flair_name%3A"🛠️ project")
近期,火绒安全团队截获蠕虫病毒“RoseKernel”。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行“挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前“火绒产品(个人版、企业版)”最新版即可查杀该病毒。
2020年4月4日,几乎所有主流媒体的线上网站网易、搜狐、百度等的配色方案统一切换为灰色,比以往多了一分肃穆,往日的清明节只是一个不痛不痒的三日假期而已,而今年的清明注定不同,原因有三:一是临近清明这一传统哀思、祭奠先辈的节日。二是为国家事业牺牲的先烈,包括近期西昌救火及因新冠病毒牺牲的英雄们表示致敬。三是灰色给人稳重安定感,灰色是我们因哀思的一种沉积,更是蕴意着我们沉积过后,秉承先烈意志的一种奋发有为。
2018年上半年瑞星“云安全”系统共截获病毒样本总量2,587万个,病毒感染次数7.82亿次。新增木马病毒占总体数量的62.83%,依然是第一大种类病毒。灰色软件病毒(垃圾软件、广告软件、黑客工具、恶意软件)为第二大种类病毒,占总体数量的17.72%,第三大种类病毒为病毒释放器,占总体数量的9.55%。
XSS攻击,对于各位黑客大佬应该算是熟悉的不能再熟悉了,但是为了在座的各位吃瓜群众,小编我还是先简单的在此介绍下。XSS攻击全称为跨站脚本攻击,是为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。XSS攻击属于“注入”攻击的一种,黑客通过某种方式吧自己所构造的恶意脚本“嵌入”到了网页的源代码中,从而造成了XSS攻击。最开始,这种攻击方式是跨域的,所以称呼他为“跨站脚本”攻击,但是如今JavaScript的强大功能和网站前端的复杂化,该类型攻击是否跨站已经不重要了,而XSS这个名字还是保留下来了。OWASP TOP10曾经多次吧XSS威胁列在榜首,并且XSS也是各位吃瓜群众最容易遭受到的面向客户端的攻击之一,这就是为什么黑客们最熟悉他的原因。
SQL注入: 所谓SQL注入,就是通过把SQL命令插入到提交的Web表单或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,导致数据库中的信息泄露或者更改。 防范: 1.永远不要信任用户的输入,将用户输入的数据当做一个参数处理: 使用参数化的形式,也就是将用户输入的东西以一个参数的形式执行,而不是将用户的输入直接嵌入到SQL语句中,用户输入就被限于一个参数。 2.避免提示详细的错误信息: 当用户输入错误的时候,避免提示一些详细的错误信息,因为黑客们可以利用这些消息,使用一种标准的输入确认机制来验证所有的输入数据的长度、类型、语句、企业规则等。 3. 加密处理: 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了“消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。 4.确保数据库安全: 锁定你的数据库的安全,只给访问数据库的web应用功能所需的最低的权限,撤销不必要的公共许可,如果web应用不需要访问某些表,那么确认它没有访问这些表的权限。如果web应用只需要只读的权限,那么就禁止它对此表的 drop 、insert、update、delete 的权限,并确保数据库打了最新补丁。
免责声明 本报告综合瑞星“云安全”系统、瑞星客户服务中心、瑞星反病毒实验室、瑞星互联网攻防实验室、瑞星威胁情报平台等部门的统计、研究数据和分析资料,仅针对中国2016年1至12月的网络安全现状与趋势进行统计、研究和分析。 本报告提供给媒体、公众和相关政府及行业机构作为互联网信息安全状况的介绍和研究资料,请相关单位酌情使用。 如若本报告阐述之状况、数据与其他机构研究结果有差异,请使用方自行辨别,瑞星公司不承担与此相关的一切法律责任。 报告摘要 · 2016年瑞星“云安全”系统共截获病毒样本总量4,327万个,
根据“火绒威胁情报系统”监测,近日,火绒工程师发现多起黑客入侵企业服务器后下载并执行后门病毒的威胁事件。目前,火绒相关防护功能可拦截该攻击,并能扫描查杀该后门病毒。但同时,我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。
有人的地方就有江湖,有江湖的地方就有争斗,有争斗就有攻防。人类争斗最初是利用拳脚,冷兵器时代是刀枪,热兵器时代是枪炮,而在计算机平台上,人们的武器换成了——代码。 注:本文注重漏洞攻防的思路对抗过程,因此并未完全按照时间先后顺序描述防护措施。 0×0二进制漏洞 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成的软件执行了非预期的功能。二进制漏洞早期主要以栈溢出为主,那时候操作系统和软件厂商还没有相应的安全意识,漏洞利用在当时来说可谓是如入无人之境。 要理解栈溢出,首先要掌握C语言中函数的调
可以看到,病毒的主要起因是利用了Linux预加载型恶意动态链接库的后门,关于Linux预加载的知识可以参考这一篇文章:警惕利用Linux预加载型恶意动态链接库的后门
近日,火绒实验室截获了一个新勒索病毒Spora,通过漏洞和诱骗方式传播,除了加密被感染电脑的本机文件外(doc/ppt/psd/jpg……等各种文件类型),还会加密局域网共享文件夹中的文件,然后弹出窗口,向受害者索取赎金。
领取专属 10元无门槛券
手把手带您无忧上云