分类病毒分析下的文章

360烽火实验室(360 Beaconlab) 发布于 04月22, 2020

深度揭露Anubis移动银行木马

介绍Anubis是古希腊语,原本表示埃及神话中一位与木乃伊制作及死后生活有关的胡狼头死亡之神;然而2017年之后,Anubis成了最流行的Android银行木马代名词,已经给全球300多家金融机构造成了不少麻烦。2016年12月19日,一个名为maza-in的用户在exploit.in的恶意软件开发者论坛中分享了一种新的Android银行木马BankBot的源代码,该木马能够发送和拦截文本消息以及...

阅读全文 »

Luke Viruswalker 发布于 07月19, 2019

Sodinokibi勒索病毒利用CVE-2018-8453发起攻击

  今年4月底,360安全大脑监控到有黑客通过Weblogic漏洞为主的各类Web组件漏洞攻击服务器,植入sodinokibi勒索病毒(小蓝屏勒索病毒)。在这之后的几天内,黑客开始使用更多方式传播sodinokibi勒索病毒,扩大传播范围。该病毒还利用了cve-2018-8453 Windows内核提权漏洞,使病毒威力进一步加强。根据360安全大脑的监控,这一病毒近期在持续发起攻击,管理员和企业用户应该做好防范。

阅读全文 »

360烽火实验室(360 Beaconlab) 发布于 07月08, 2019

安全预警:借贷软件变脸绕过应用市场审核

第一章 发现“变脸”应用一、 背景近日,360烽火实验室接到一例反馈:用户描述从某应用市场下载了一个记事本应用, 经过一段时间的使用后发现该应用内容变成与贷款相关。图1-1 初次使用时的软件内容图1-2 经过一段时间之后的软件内容随即我们根据用户反馈的内容进行快速跟进,发现该应用具有随机变换界面的功能,且变换后的应用功能已与原应用无关,因此将此应用称为“变脸”应用。二、 应用分类...

阅读全文 »

cyg07 发布于 06月13, 2017

SambaCry 野外利用分析

Author: redrain & houjingyi159 @360网络安全响应中心

2017年5月24日Samba发布了4.6.4版本,中间修复了一个严重的远程代码执行漏洞,漏洞编号CVE-2017-7494,漏洞影响了Samba 3.5.0 之后到4.6.4/4.5.10/4.4.14中间的所有版本。360网络安全中心 和 360信息安全部的Gear Team第一时间对该漏洞进行了分析,确认属于严重漏洞,可以造成远程代码执行。
http://blogs.360.cn/blog/samba远程代码执行漏洞cve-2017-7494分析/

SambaCry漏洞是一个具备规模传播的蠕虫性质漏洞,近期卡巴斯基安全实验室通过蜜罐捕获了一个通过SambaCry漏洞恶意利用bot进行区块连数字货币挖矿的攻击。
在此,360网络安全中心和360追日团队对该事件所使用的后门进行了具体的技术分析。

阅读全文 »

cyg07 发布于 01月05, 2016

某僵尸网络被控端恶意样本分析

by 360信息安全部-王阳东(云安全研究员)

0x0. 引子

近期, 部署于360云平台( https://cloud.360.cn )的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量,联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。

360云安全研究员 –“王阳东”对此恶意程序进行较为深入的分析,此样本可能是billgates僵尸网络的一个变种。

阅读全文 »

kangxiaopao 发布于 09月10, 2015

罪恶家族hook007之潜伏篇

前言

这个样本的逻辑关系比较强,根据不同的环境在做不同的操作,让整个程序完整运作起来有大量的程序参与进来。则个样本已经有5年历史,饱经360的查杀,却依旧在不断的更新。采取各种免杀手段去避开360安全卫士的查杀,该样本对用户的诱惑性也特别的强,该样本主要利用了用户的安全意识薄弱,诱导用户点击一些看似不会造成危害的快捷方式,在用户点击后,同时也会出现用户预期的效果,以蒙蔽用户

阅读全文 »

kangxiaopao 发布于 08月27, 2015

Hacking Team后门分析(一)

前言

前段时间HackingTeam数据泄露事件引起了一场轩然大波,足足400G的干货。虽然这件事已经过去很久了,但是意图不轨的人试图利用HackingTeam里面的干货,来干一些坏事。 对目标进行监听。这篇博文是对其中的一个dll的部分分析。仅仅这个dll也就让人够头疼的了。

阅读全文 »

Luke Viruswalker 发布于 08月17, 2015

木马盗用“湖南省农村信用社”签名兴风作浪

数字签名相当于一款软件的身份证,身份证如果丢了,那意味着可能会有其他人冒用你的身份去做坏事,而如果数字签名丢了,情况是完全一样的。
最近,360安全中心就监控到了大量恶意程序(主要是远控木马)使用了“湖南省泥岗村信用社”的数字签名————“Hunan Rural Credit Cooperative”,并且签名有效。这意味着该签名已经被盗用做木马传播了,而一些传统安全软件往往内置了针对数字签名的信任机制,这也就导致了这批木马可以冒用“湖南省农村信用社”的名义顺利的进行传播。

阅读全文 »

steven 发布于 07月28, 2015

bt天堂挂马事件

上周有用户反映,在其访问“bt天堂电影下载站”时,360安全卫士提示拦截到网站挂马攻击(利用漏洞:CVE-2014-6332)。由于bt天堂拥有较高人气,影响用户数量巨大,我们对此事件进行了追踪调查,发现此挂马样本还出现在一家政府网站上,很可能是黑客利用非法入侵手段获取了网站权限,从而在bt天堂等网站上挂马。

根据监测,bt天堂在7月24日晚间已经清除了恶意代码。以下是我们对此事件的回溯和简要分析:

阅读全文 »

stjhll 发布于 07月13, 2015

新暗云木马分析

近期360安全中心收到大量网友反馈,浏览器主页被改为 ur99.com、zf12.com、m162.com等可疑网址,或者是CPU占用莫名奇妙的高,尤其是svchost.exe消耗大量系统资源。

我们联系求助网友,跟踪样本来源发现,这些现象是一个最新的暗云木马变种作祟。该木马变种使用了多种技术对抗杀毒软件,并在关机时反复写入MBR(主引导记录),原始样本为注入svchost的一个系统服务。以下为详细分析:

阅读全文 »