“网马”变迁

网页挂马一直是个不停歇的战场,在之前捕获到一部分类型的“挂马”中,发现有相当一部分是通过在页面嵌入恶意代码,这样,防护较弱的机器访问的时候,就很容易中招,木马作者通过后续的操作可以达到不可告人的目的。 从已发现攻击例子来看,有不少是专门针对路由器的攻击,其中TPLINK系类的路由器和netcore系列路由器都遭受过不同类型的攻击,这方面主要是路由器自身固件的缺陷所致,以下列出一部分: 一、针对TP…

继续阅读 →

VBS远控木马

最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。 木马基本信息: MD5:0ad2a50ac1a1a98ce3db134e795e2974 大小:97,525 字节 目标端口:1346…

继续阅读 →

罪恶家族——hook007木马

最近从很多渠道都收到用户反馈,用户接收到其他“玩家”发过来的“装备截图”,“密保卡”等文件后,发现自己帐号被盗了。 在拿到木马样本后,发现这类木马其实是跟安全软件对抗已久的一类家族木马——我们称之为hook007。 之所以起这个名字,主要是因为在这一族系的样本的早期通信协议中频繁出现hook007的字样作为通信标识,但经过长期与安全软件的对抗,历经了代码特征与行为特征的无数次修改,这一标识早已不复…

继续阅读 →