CTB-LOCKER分析报告

摘     要 CTB-Locker是“比特币敲诈者”系列病毒的一个家族,2015年初传入国内,4-5月呈高发趋势。此病毒主要来自英文邮件附件,如果用户不慎运行,系统中的文档、图片、数据库等重要资料会被病毒高强度加密。 病毒在用户桌面显示勒索信息,要求受害者向病毒作者限期支付一定数目的比特币赎金才能够解密还原文件内容,否则电子数据就会被销毁。 为了防止自身被定位到,获取密钥的过程在Tor网络中进行…

继续阅读 →

移花接木大法:新型“白利用”华晨远控木马分析

“白利用”是木马对抗主动防御类软件的一种常用手法。国内较早一批“白利用”木马是通过系统文件rundll32.exe启动一个木马dll文件,之后又发展出劫持合法软件的dll组件来加载木马dll的攻击方式。 随着安全软件对“白利用”的防御机制日益完善,木马也在花样翻新。近期,360QVM引擎团队发现“华晨同步专家”远控木马家族采用了比较另类的“白利用”技术:该木马利用白文件加载dll文件后,再次启动白…

继续阅读 →

云控攻击之“人生在世”木马分析

摘要   近期一款名为“人生在世”的木马家族异常活跃,它隐藏在“小马激活”、“种子搜索神器迅雷云播版”、“宝宝CF刷枪软件”、“游戏启动器”等软件中,具有较强的免杀能力和大规模传播能力,目前国内仅360安全卫士能够识别查杀该木马家族。 “人生在世”木马的主要特点是纯shellcode类云端控制,木马的云控代码藏在几张美女图片中,图片和代码以“人生在世”这四个字作为“接头暗号”。 此外,该…

继续阅读 →

手机锁屏勒索国内首现身

by 张昊          近期,360互联网安全中心截获到了一批伪装成游戏外挂、QQ刷赞、付费破解等类型的恶意软件。一旦用户点击运行,用户手机就会被锁住,即使强制重启也没有用,造成用户手机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费,从而达到勒索用户资金的目的。目前,360手机卫士已经可以全面查杀该类型恶意软件。   一、锁屏原理          …

继续阅读 →

一不留神就被别人当枪使的年代

人心不古,世风日下…… 已经想不起什么时候我们竟然习惯了小心翼翼地浏览网页,习惯了去时刻提防各种各样的诱骗。 形形色色的陷阱 互联网已经成为了我们生活的一部分,互联网在改变我们,同时自己也在变…… 你可能随时可能会“好心”的提醒你,你的电脑中毒了……而且是真的提醒:不仅有图片,还有声音提醒呢——“发现病毒!发现病毒!发现病毒!”……果然周到……╮( ̄▽ ̄”)╭ 你还可能会被提醒需要下载个新的播放器…

继续阅读 →

一个盗取用户淘宝信息的木马分析

MD5:22e7d357e40460f325efecafac95a0f3 木马核心功能: 当用户使用浏览器上网时,该木马会盗取目标机器的淘宝账户的订单信息,宝贝信息,经常浏览的宝贝,收藏的宝贝,订单号,支付方式,用户cookie等等,然后发送到木马作者的服务器. 基本信息   详细分析 复制自身到system目录下 然后从这里开始一系列木马行为 开始准备LSP 利用SPI(服务提供者接口…

继续阅读 →

首次现身中国的CTB-Locker“比特币敲诈者”病毒分析

昨天开始,国内有众多网友反馈中了CTB-Locker敲诈者病毒, 电脑里的文档、图片等重要资料被该病毒加密,同时提示受害者在96小时内支付8比特币(约1万元人民币)赎金,否则文件将永久无法打开。这是CTB-Locker敲诈者病毒首次现身中国,受害者大多是企业高管等商务人士。 这是国内首次出现敲诈比特币的病毒攻击,该病毒敲诈过程具有高隐蔽性、高技术犯罪、敲诈金额高、攻击高端人士、中招危害高的“五高”…

继续阅读 →

“长老木马”三代揪出背后“大毒枭”

作者:360Android分析团队     一、冰山一角 近期很多网友的Android手机上“莫名其妙”地出现了“手电筒”、“日历”等应用,并且在没有root的前提下无法卸载。即使获得了root权限卸载了,没过多久又会再次出现。根据360互联网安全中心统计,相关的受感染用户已经超过百万。 二、始作俑者 经过大量的用户配合反馈以及360互联网安全中心细致分析排查后,我们发现始作俑者为“长老木马(Fa…

继续阅读 →

邪恶的输入法

“输入法”,或许是计算机软件领域最伟大的发明之一了,也是我们日常的计算机使用中最常用到的软件,一款好的输入法能让我们事半功倍。随着计算机的软硬件不断发展,输入法的功能也不再局限于协助用户完成“输入”的工作,各家输入法为了拉拢用户,绞尽脑汁的为输入法添加了各种各样的小功能,往往能让人眼前一亮。 但试想,如果输入法的附加功能是弹广告呢?近日,360安全中心接到用户的反馈,说自己的浏览器首页被改了,还莫…

继续阅读 →

VBS远控木马

最近捕获到一个vbs后门脚本,发现比较有意思,根据以往遇到的脚本,绝大多数都是蠕虫、下载者(从木马服务器下载一个远控)这类或者是配合木马本身做自删除中间文件,极少遇到本身就是后门或是远程控制类木马,原因是这类木马的局限性较大,一些复杂功能不能完整编写。简单分析下。 木马基本信息: MD5:0ad2a50ac1a1a98ce3db134e795e2974 大小:97,525 字节 目标端口:1346…

继续阅读 →