韩国 ISP 用恶意程序感染 Webhard 用户

韩国ISP用恶意程序感染Webhard用户韩国ISPKT（韩国电信）被发现用恶意程序感染用户遏制其网络中的Torrent流量。在韩国文件共享仍然很受欢迎，但流行的是专用的付费Webhard（WebHardDrive）服务。KT是韩国最大的ISP之一，有逾1600万用户。它早在数年前就被发现干扰Webhard使用的GridSystem。警方对KT数据中心的突击搜查行动发现，有数十台设备专门被用于限制Webhard。在最新调查中，KT被发现主动在运行Webhard的计算机上安装恶意程序，干扰Webhard的文件传输。有大约60万KT用户受到影响。关注频道@ZaiHuaPd频道爆料@ZaiHuabot

微软对跨平台挖矿恶意程序 LemonDuck 发出警告

微软对跨平台挖矿恶意程序LemonDuck发出警告LemonDuck的功能发生了巨大变化，除了传统的挖矿之外，它还能窃取凭证，移除安全控制，通过电邮传播，释放更多恶意程序。它是少数能同时感染Windows和Linux系统的恶意程序之一，其传播主要是通过钓鱼邮件、漏洞利用、USB设备和暴力破解等，它能利用新闻事件、新的漏洞进行更有效的传播。它还会修复其利用入侵系统的漏洞防止其它与其竞争的恶意程序利用相同的漏洞。它还能下载其它恶意程序为后续的攻击做好准备。

［ 新版恶意程序感染世界各地的ATM机器］卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感

［新版恶意程序感染世界各地的ATM机器］卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感染世界各地的ATM取款机。犯罪分子可利用新Skimer恶意程序获取的银行卡的PIN码和纸币在机器中的位置。恶意程序用Themida加壳，如果检测到系统使用的文件系统是FAT32，它会在C:\Windows\System32中添加文件netmgr.dll；如果是NTFS文件系统，netmgr.dll会植入到NTFS数据流可执行文件，增加分析和检测难度。https://securelist.com/blog/research/74772/atm-infector/

［安全: 恶意程序GODLESS利用系统弱点root设备］

［安全:恶意程序GODLESS利用系统弱点root设备］趋势科技报告了被称为GODLESS的新移动恶意程序家族，利用Android5.1及更早版本的系统弱点root设备，然后在设备上安装难以删除的恶意的系统应用。Android5.1及更早版本的份额占到了整个Android生态系统的九成。含有GODLESS代码的恶意应用出现在了众多的应用商店，其中就包括了GooglePlay。GODLESS感染了全世界85万设备。一旦用户下载了恶意应用，恶意程序会等待设备屏幕关闭后才开始运行悄悄root设备，root之后会安装名叫__image的系统应用。研究人员发现，GooglePlay商店中名叫SummerFlashlight的应用包含了恶意GODLESS代码。该应用已经被移除。http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/

［＃安全: 恶意程序通过计算Word文档数躲避检测］

［＃安全:恶意程序通过计算Word文档数躲避检测］卡巴斯基实验室的安全研究人员发现了一种Word宏恶意程序能通过计算运行环境的Word文档数量去躲避检测。安全研究人员通常利用虚拟机测试可疑程序，虚拟机环境一般缺乏多个Word文档和其它类型的文件，这意味着如果恶意程序在系统中没有找到2个以上的World文档，那么它可以假设自己正在被研究。研究人员发现了该恶意程序如果在本地磁盘内没有发现2个以上的文档就会拒绝执行。如果发现两个以上的Word文档，它会执行PowerShell脚本，从silkflowersdecordesign.com这个网站下载按键记录程序。https://sentinelone.com/blogs/anti-vm-tricks/

华为应用商店中发现恶意程序

华为应用商店中发现恶意程序近日，DoctorWeb（俄罗斯的杀毒软件公司）的病毒分析师在华为应用商店发现了一种恶意程序，这是一种名为Android.Joker.242.origin的木马。华为应用商店中已发现该木马的10种修改版本，这些被感染木马的软件已经有超过53.8万次安装。被感染的APP诸如虚拟键盘，相机，桌面，在线MSN，表情包，游戏等。这些APP中有8个是由山西快来拍网络技术有限公司发布的，其他2个是由何斌发布的。Android.Joker木马是多组件威胁，能够根据攻击者的需求执行任何任务。该木马只是一个诱饵程序，含有最基本的木马模块。在无害软件的掩盖下，木马程序会连接到C＆C服务器，接收必要的配置并下载恶意程序。这些恶意程序不仅搜索激活代码，还将所有传入SMS的通知的内容传输到C＆C服务器，这可能导致数据泄漏。华为应用市场新闻服务指出：“在收到DoctorWeb的警告后，华为公司在华为应用商店中隐藏了木马程序以保护用户。公司将进行进一步调查，以最大程度地减少此类APP在未来出现的风险。”