祸起萧墙:由播放器引爆的全国性大规模挂马分析

事件起因 从5月底开始,360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是,该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。 起初,我们怀疑这些播放器的升级文件被木马进行了网络劫持。通过对木马下载重灾区搜狐影音的分析,我们发现搜狐影音对网络下载的运行代码做了完整性校验,但并没有对安全性做校验,比如签名信息等,确实可以被劫持升级种木马。不过从数据分析…

继续阅读 →

天眼实验室:OceanLotus(海莲花)APT报告摘要

摘要 2012年4月起,有境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。我们将其命名为OceanLotus(海莲花)。 该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播特种木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。 现已捕获O…

继续阅读 →

首次现身中国的CTB-Locker“比特币敲诈者”病毒分析

昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。 这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”…

继续阅读 →

一个淘宝客劫持木马的分析

近期,我们收到很多淘宝卖家的投诉,报告说他们的淘宝联盟付费推广被莫名奇妙地扣除了一部分,而这个商品是没有经过推广的。360病毒响应中心的工程师收到投诉后,经过一系列的分析和追踪,发现了一种专门通过劫持淘宝客骗取卖家推广费的木马,我们将其称为淘宝客劫持木马。 说起淘宝客劫持木马,就要先从淘宝客说起。淘宝客是指通过互联网帮助淘宝卖家推广商品,并按照成交效果获得佣金的人或者集体(可以是个人,网站,团体,…

继续阅读 →

基于MBR的BOOTKIT分析及安全防护措施

作者:wowocock(360系统急救箱工程师) 传统木马病毒普遍是基于文件形式存在于机器上,尽管它们会通过各种加壳免杀技术逃避杀软检测,但随着云安全和主动防御技术的发展,恶意程序想驻留系统已经变得越来越难。在这种情况下,基于MBR的BOOTKIT在最近两年开始兴起。 基于MBR的BOOTKIT特点是无文件、无进程、无模块,可以只存在于运行的内存和位于操作系统之外的磁盘扇区空间里,即使重装系统、甚…

继续阅读 →