steven 发布于 07月28, 2015

bt天堂挂马事件

上周有用户反映,在其访问“bt天堂电影下载站”时,360安全卫士提示拦截到网站挂马攻击(利用漏洞:CVE-2014-6332)。由于bt天堂拥有较高人气,影响用户数量巨大,我们对此事件进行了追踪调查,发现此挂马样本还出现在一家政府网站上,很可能是黑客利用非法入侵手段获取了网站权限,从而在bt天堂等网站上挂马。

根据监测,bt天堂在7月24日晚间已经清除了恶意代码。以下是我们对此事件的回溯和简要分析:

阅读全文 »

steven 发布于 07月13, 2015

新黑狐木马分析

摘要

黑狐木马是2015年感染量较大、版本众多的一支木马家族,也是杀毒软件重点监控追杀的对象。近期360互联网安全中心发现黑狐木马出现重大变化,此变种不再使用原先的关键字,但是替换系统关键文件等行为不变,因此称其为“新黑狐”。

阅读全文 »

steven 发布于 05月27, 2015

CTB-LOCKER分析报告

摘 要

  • CTB-Locker是“比特币敲诈者”系列病毒的一个家族,2015年初传入国内,4-5月呈高发趋势。此病毒主要来自英文邮件附件,如果用户不慎运行,系统中的文档、图片、数据库等重要资料会被病毒高强度加密。
  • 病毒在用户桌面显示勒索信息,要求受害者向病毒作者限期支付一定数目的比特币赎金才能够解密还原文件内容,否则电子数据就会被销毁。
  • 为了防止自身被定位到,获取密钥的过程在Tor网络中进行,由于该网络和比特币交易都是匿名的,病毒作者难以被追踪到。
  • 病毒删除文件卷影副本,数据恢复的希望非常渺茫。
  • 病毒解密需要联网通过ECDH协商产生密钥,在没有密钥的情况下,数据无法还原。

值得关注的是,近期在国外暗网出现了CTB-Locker病毒的“傻瓜化”生成工具,利用该工具,只要简单三步就可以制作出病毒,病毒作者则会获得30%的敲诈赎金抽成。这意味着,CTB-Locker很可能会出现新一轮爆发。

对大多数人来说,个人数据的价值远远超过比特币赎金甚至电脑设备的价值。而CTB-Locker病毒作者仍逍遥法外,时刻威胁着我们的数据安全。因此,分析清楚此病毒行为和危害、并真正有效防御尤为关键。

阅读全文 »