[ 新版恶意程序感染世界各地的ATM机器]卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感

[新版恶意程序感染世界各地的ATM机器]卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感染世界各地的ATM取款机。犯罪分子可利用新Skimer恶意程序获取的银行卡的PIN码和纸币在机器中的位置。恶意程序用Themida加壳,如果检测到系统使用的文件系统是FAT32,它会在C:\Windows\System32中添加文件netmgr.dll;如果是NTFS文件系统,netmgr.dll会植入到NTFS数据流可执行文件,增加分析和检测难度。https://securelist.com/blog/research/74772/atm-infector/

相关推荐

封面图片

卡巴斯基和赛门铁克的研究人员发表报告,称发现了一个恶意程序平台,它的设计和执行是如此先进,只可能是由国家支持开发的。

卡巴斯基和赛门铁克的研究人员发表报告,称发现了一个恶意程序平台,它的设计和执行是如此先进,只可能是由国家支持开发的。新的恶意程序被称为ProjectSauron,是继Duqu、Flame、Equation和Regin之后的新国家级恶意程序。ProjectSauron以二进制大对象(BinaryLargeObjects)方式编写,只在内存中运行,很难被杀毒软件检测出。很多恶意程序的指令控制系统会复用服务器、域名和IP,但ProjectSauron对于每一个攻击目标都使用不同的指令控制系统。研究人员掌握了30多个恶意程序攻击的目标,认为这只是冰山一角。ProjectSauron最令人印象的一点是它窃取不联网计算机上数据的能力。它使用预先准备的USB驱动,利用Windows系统不可见的虚拟文件系统,悄悄收集插上USB的电脑上的数据。研究人员还没有完全搞清楚这一机制的工作原理,推测可能利用了尚未发现的0day漏洞。http://arstechnica.com/security/2016/08/researchers-crack-open-unusually-advanced-malware-that-hid-for-5-years/
封面图片

卡巴斯基实验室的研究人员报告,网络犯罪组织利用合法远程管理工具植入窃取银行账号的恶意程序。

卡巴斯基实验室的研究人员报告,网络犯罪组织利用合法远程管理工具植入窃取银行账号的恶意程序。被称为Lurk的犯罪组织纂改了远程管理工具AmmyyAdmin的安装包,在合法程序之外悄悄安装间谍软件。为了增加成功率,攻击者修改了AmmyyWeb服务器上的PHP脚本。因为远程管理工具和银行木马在功能上存在相似之处,当用户的安全软件报告探测到潜在恶意程序之后,他们可能会认为这是误报而忽视警告或将程序加入豁免清单。Ammyy的网站曾多少遭到入侵,在Lurk遭到执法机构的打击之后,Ammyy的网站又开始传播另一个与Lurk无关联的恶意程序。https://securelist.com/blog/research/75384/lurk-a-danger-where-you-least-expect-it/
封面图片

微软对跨平台挖矿恶意程序 LemonDuck 发出警告

微软对跨平台挖矿恶意程序LemonDuck发出警告LemonDuck的功能发生了巨大变化,除了传统的挖矿之外,它还能窃取凭证,移除安全控制,通过电邮传播,释放更多恶意程序。它是少数能同时感染Windows和Linux系统的恶意程序之一,其传播主要是通过钓鱼邮件、漏洞利用、USB设备和暴力破解等,它能利用新闻事件、新的漏洞进行更有效的传播。它还会修复其利用入侵系统的漏洞防止其它与其竞争的恶意程序利用相同的漏洞。它还能下载其它恶意程序为后续的攻击做好准备。
封面图片

[#安全: 恶意程序通过计算Word文档数躲避检测]

[#安全:恶意程序通过计算Word文档数躲避检测]卡巴斯基实验室的安全研究人员发现了一种Word宏恶意程序能通过计算运行环境的Word文档数量去躲避检测。安全研究人员通常利用虚拟机测试可疑程序,虚拟机环境一般缺乏多个Word文档和其它类型的文件,这意味着如果恶意程序在系统中没有找到2个以上的World文档,那么它可以假设自己正在被研究。研究人员发现了该恶意程序如果在本地磁盘内没有发现2个以上的文档就会拒绝执行。如果发现两个以上的Word文档,它会执行PowerShell脚本,从silkflowersdecordesign.com这个网站下载按键记录程序。https://sentinelone.com/blogs/anti-vm-tricks/
封面图片

[安全: 恶意程序GODLESS利用系统弱点root设备]

[安全:恶意程序GODLESS利用系统弱点root设备]趋势科技报告了被称为GODLESS的新移动恶意程序家族,利用Android5.1及更早版本的系统弱点root设备,然后在设备上安装难以删除的恶意的系统应用。Android5.1及更早版本的份额占到了整个Android生态系统的九成。含有GODLESS代码的恶意应用出现在了众多的应用商店,其中就包括了GooglePlay。GODLESS感染了全世界85万设备。一旦用户下载了恶意应用,恶意程序会等待设备屏幕关闭后才开始运行悄悄root设备,root之后会安装名叫__image的系统应用。研究人员发现,GooglePlay商店中名叫SummerFlashlight的应用包含了恶意GODLESS代码。该应用已经被移除。http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/
封面图片

韩国 ISP 用恶意程序感染 Webhard 用户

韩国ISP用恶意程序感染Webhard用户韩国ISPKT(韩国电信)被发现用恶意程序感染用户遏制其网络中的Torrent流量。在韩国文件共享仍然很受欢迎,但流行的是专用的付费Webhard(WebHardDrive)服务。KT是韩国最大的ISP之一,有逾1600万用户。它早在数年前就被发现干扰Webhard使用的GridSystem。警方对KT数据中心的突击搜查行动发现,有数十台设备专门被用于限制Webhard。在最新调查中,KT被发现主动在运行Webhard的计算机上安装恶意程序,干扰Webhard的文件传输。有大约60万KT用户受到影响。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人