分享一款失败的国产加密勒索软件

一、 前言 近两年,以敲诈勒索为目的的文件加密恶意软件逐渐成为恶意软件中的主力军。以Locky家族,ceber家族为典型代表的加密勒索软件席卷国外,对政府机构,公司乃至个人用户造成了极大的危害。早期的加密勒索软件一般以网页挂马形式出现,“落户”到本地运行后会经过一系列的代码重组及解密操作得到用于执行主要功能的shellcode,然后运行shellcode对指定文件进行加密。由于程序代码段在解密和解…

继续阅读 →

Android Accessibility安全性研究报告

360烽火实验室 第一章    Accessibility简介 近期,360烽火实验室发现一款滥用Accessibility的木马,该木马具有浏览器地址栏劫持、搜索劫持、桌面点击劫持以及防卸载等系列恶意行为。本报告将结合我们对该木马的分析,从Accessbility的设计初衷、技术发展、滥用情况等角度研究Accessibility的安全性。 一、    设计意义 依据Android官方文档,考虑到…

继续阅读 →

“百合一”盗号木马分析报告

0x1 前言 近日,360互联网安全中心捕获到一枚窃取国外用户个人信息的木马程序。该木马外壳使用c#语言编写,经过两次代码解密操作后完成“金蝉脱壳”,执行最终的功能代码。在木马的运行过程中,关键代码只在内存中执行,并没有“落地”,这也增强了木马的隐蔽性。木马的主要功能是盗取用户计算机中超过一百种敏感信息,包括浏览器中自动保存的账号密码,facebook账号密码,本机登陆账号密码等,真正的大合集盗号…

继续阅读 →

某针对韩国网银的后门程序分析

0x1 前言 最近,360互联网安全中心捕捉到一枚针对韩国网银的后门程序,该后门程序与2014-2015年爆发的KRBanker木马攻击手法相似,极有可能是同一团伙所为。KRBanker木马是一种结构复杂,针对性强的银行木马,它利用网络挂马等方式欺骗用户下载安装,通过监听劫持DNS协同本地数据打包上传的方式盗取用户网银账户信息。此次捕获的样本相对于之前的木马在功能上有所改进,不再是单一的DNS劫持…

继续阅读 →

别一言不合就退杀软

0x1 前言 随着游戏产业的不断发展,外挂行业也变得热门。许多游戏玩家为了能在游戏中获得远超于他人的发展速度开始大量使用外挂,而在外挂中嵌入木马进行盗号或者远程控制的行为层出不穷,加上外挂作者要求用户关闭杀软“躲避查杀”等因素,外挂是否安全成为未知数。最近,360互联网安全中心接到用户反馈,在关闭360安全卫士和360杀毒使用外挂之后,360安全卫士和360杀毒竟然无法重新打开。究竟是何原因导致这…

继续阅读 →

网络电信诈骗之电话号码劫持

日前,360烽火实验室发布的《深入分析跨平台网络电信诈骗》[[1]]报告中曝光了跨平台网络电信诈骗的黑色产业链。报告发布后,移动平台网络电信诈骗类恶意软件的数量急剧下降。 近期,我们捕获一类网络电信诈骗恶意软件的新型变种。该类变种是诈骗者在对受害者进行电信诈骗时,以涉嫌犯罪为由恐吓受害者。向受害者手机发送包含恶意程序下载链接的信息,以获取“案件号”、“单位代号”、“电子凭证”为由诱骗受害者点击链接…

继续阅读 →

用世界上最好的编程语言写成的敲诈者木马

你永远叫不醒一个装睡的人。但,快递小哥可以! 虽说是一句戏言,但确实多少反映出了快递在大家心中的重要性。如果你收到一个带有快递公司发来的电子邮件通知,你会不会也希望快点打开看看是不是哪个朋友给你寄了什么东西等着你去取呢?最近我们就收到了这样的一个带有“快递单号”的电子邮件附件。唯一有些水土不服的就是——在中国用FedEx的确实并不很多……大写的PITY…… 0000b 木马起始——FedEx_ID…

继续阅读 →

“地狱火”手机病毒——源自安卓系统底层的威胁

0x00     背景 近 日,360安全中心收到多起用户反馈,手机中了一种难以清理的病毒,某些用户尝试自行清理掉病毒,发现删除病毒文件vold.apk后,会再次重现。通过分析,发现此病毒已经寄生到系统底层,定时恢复APK实现自我保护。随着反馈用户数量急剧上升,360手机急救箱已下发紧急查杀方案,全面支持清理该手机病毒。 通过分析,我们发现在手机病毒发展史上,首次利用了在Android系统中通过修…

继续阅读 →

OpenSSL CVE-2016-2107 漏洞分析

by au2o3t @ 360信息安全部-云安全团队(Qihoo360 Cloud Security Team)   一. 前言 最近360信息安全部的战友们够辛苦的,连夜修复漏洞,外部漏洞(ImageMagick)太凶残了,以致于连OpenSSL的洞都没有泛起多少波澜。 目前为外部企业服务的360天眼团队和360安服团队还在一线为企业救火。 回到这个OpenSSL的漏洞上,我们关注了下…

继续阅读 →