Browsed by
月份:2014年9月

假冒淘宝远控木马

假冒淘宝远控木马

一、木马介绍: 该木马具有很高的欺骗和隐藏性,在首次运行时并不会暴露自身身份,会通过打包udp数据包,将手机基本信息发送到指定的地址:www.baidu.com 端口:
WebView跨源攻击分析

WebView跨源攻击分析

作者:龚广 一同源策略        同源策略是浏览器最重要的一种安全机制,由Netscape于1995年最先提出,现在的主流浏览器都遵循这种策略[1]。同源一般指协议,域名,端口都相同,但IE浏览器会忽略对端口的判断。RFC 6454定义了计算同源URL的算法[2]。为了形象的描述同源URL,下表给出了特定URL是否与http://www.360.cn/weishi/index.html同源的计算结果和原因。 被比较的URL 比较结果 原因 http://www.360.cn/index.html 同源 协议和域名都相同 http://www.360.cn/weishi/updatelog.html 同源 协议和域名都相同 http://360.cn/index.html 非同源 域名不同 http://shouji.360.cn/index.html 非同源 域名不同 http://www.360.cn:8088/index.html 非同源 端口不同 https://www.360.cn 非同源 协议不同 http://www.google.com 非同源 域名不同 file:///C:/Program%20Files/360/ 非同源 协议与域名都不相同 同源策略限制javascript只能操作同源站点的DOM对象。用如下所示的HTML脚本来简单说明同源策略对javascript的限制,首先用IFrame将www.so.com
木马瞄准视频软件,推广、扣费、窃隐私,一个都不能少

木马瞄准视频软件,推广、扣费、窃隐私,一个都不能少

作者:Binroo、王欢 一、       概述 360互联网安全中心近期截获了一批名为“FakeUpdate”的云控扣费恶意软件家族。通过云端服务器下发扣费指令,在用户不知情的情况下发送扣费端短信,造成用户资费损失。另外还会拦截并上传用户短信息到指定服务器上,造成用户隐私泄露。最初是在7月底获取的第一个样本,伪装成google更新程序,因此我们将其命名为“FakeUpdate”家族,后期多伪装成“成人必点”、“爱薇影院”、“哇嘎嘎影院”等含有诱惑名称的视频客户端,诱导用户安装。传播量巨大,目前已有近百万用户中招。 360手机卫士可全面查杀。   二、      
FakeTaobao家族变种演变

FakeTaobao家族变种演变

作者:张昊 一、木马恶意行为简述 在2013年5月,360互联网安全中心监控到了第一个FakeTaobao家族的木马,该家族最开始伪装成淘宝软件,所以我们将其命名为FakeTaobao。 该木马家族样本通过钓鱼、诱骗、欺诈的方式窃取用户姓名、身份证号码、银行卡账户、支付密码、短信内容及各种登录账号和密码等用户重要的个人隐私信息,再通过短信转发,联网上传和发送邮件等多种方式,造成这些信息的泄露,不法分子再利用此信息从而达到窃取用户资金的目的,严重威胁用户的财产安全。 二、统计数据 FakeTaobao家族的样本功能简单、更新变化速度快,伪装花样不断翻新,涉及的样本量非常大。从最开始出现到14年9月9日,共截获该家族样本将近3万3千个。 1、月度新增样本统计 从13年5月起,360互联网安全中心每月都能够监控到该类木马,并且在样本数量上也呈现不断增长的趋势。 2、最爱伪装的应用软件名称Top20 在已截获的众多样本中,有一些常见名字的应用软件,是木马最爱伪装的。   3、最爱伪装的应用软件类型 按照木马伪装软件的类型分,运营商软件、各种合同订单表格、网银支付类软件、系统软件、以及各种照片图片,是木马最爱伪装的目标。 4、最爱伪装的运营商软件Top10 “中国移动”、“掌上营业厅”、“移动客户端”、“积分兑换”、“10086”、“移动营业厅”、“中国移动客户端”、“移动证书”、“移动掌上客户端”、“掌上移动”,是木马最爱伪装的运营商软件。   5、最爱仿冒的网银支付类软件 淘宝是这类木马最爱仿冒的,其次是支付宝、建设银行、银联、招行等银行软件。     6、最爱伪装的合同订单表格类名称Top10 这类木马最爱伪装成各类表格、订单,诱骗用户安装,特别是诱骗网店店主安装。 7、最爱伪装的照片图片类名称Top10 这类木马也爱伪装成各种照片、相册等各种图片,诱骗好奇的用户上当受骗。 8、其他爱伪装的实用软件 信用卡、贷款类软件也是这类木马爱伪装的目标,有部分用户需要短期的资金周转,而正规的信用卡及贷款申请门槛较高,又有申请周期长、所需资料繁多、审核严格等条件限制。木马作者正是利用了这一点,声称能够快速申请,及时放款,来引诱人们上当受骗。常伪装的有:   9、感染用户地区分布 我们对该木马家族8、9月份新增样本进行了用户感染地区分布统计,从下图可以看出感染量最大的三个地区分别是广东15.94%、山东6.29%、江苏6.04%。 三、传播方式 我们发现该木马家族的传播方式与以往的木马家族传播方式不同,它更倾向于社工学的方向,并不是主要依靠第三方市场传播,而是主要依靠二维码、网盘和短信链接等方式有针对性的点对点传播,淘宝卖家和经常使用社交类软件的用户更容易中招。这里我们列举2个常见的传播感染场景。 1、淘宝卖家扫描二维码 淘宝卖家收到买家消息,买家声称已经把要买货物清单列出来了,诱骗卖家用手机扫描下载安装后核对,卖家安装后中招。   2、伪基站短信仿冒银行信用卡积分兑换 伪基站可以模拟任意号码,用户收到伪基站发送的信用卡积分兑换短信,由于号码与银行一致用户极难区分真实性,从而诱导用户下载安装,导致用户中招。   四、窃取隐私手段 1、利用图标、界面与官方版本相似进行钓鱼,窃取用户主动输入的重要隐私信息。     2、利用各种方式诱导用户安装,在用户未知情的情况下后台通过短信、Web和邮件等方式回传,窃取用户重要隐私信息。 1)通过短信方式窃取。 2)通过Web方式窃取 3)通过邮件方式窃取 五、木马对抗方式 我们在对该木马家族持续的演变过程中发现,该木马家族具备样本体积小,恶意代码变化速度快,与安全软件的查杀对抗方式多等特点。这里我们列举了比较有代表性的十三种对抗方式。 1、隐藏自身 首次安装后木马一般会显示图标,一旦用户点击运行木马,木马会通过调用setComponentEnabledSetting
AdDevice木马分析报告

AdDevice木马分析报告

作者:Binroo,王欢,张佳杰 我们知道,如果软件需要激活设备管理器,需要用户的确认。但近期360互联网安全中心截获了一批木马,该木马软件通过精巧的设计,伪装成Android的升级通知,提示将系统升级到最新的Android