[#安全: 恶意程序通过计算Word文档数躲避检测]

[#安全:恶意程序通过计算Word文档数躲避检测]卡巴斯基实验室的安全研究人员发现了一种Word宏恶意程序能通过计算运行环境的Word文档数量去躲避检测。安全研究人员通常利用虚拟机测试可疑程序,虚拟机环境一般缺乏多个Word文档和其它类型的文件,这意味着如果恶意程序在系统中没有找到2个以上的World文档,那么它可以假设自己正在被研究。研究人员发现了该恶意程序如果在本地磁盘内没有发现2个以上的文档就会拒绝执行。如果发现两个以上的Word文档,它会执行PowerShell脚本,从silkflowersdecordesign.com这个网站下载按键记录程序。https://sentinelone.com/blogs/anti-vm-tricks/

相关推荐

封面图片

[安全: 恶意程序GODLESS利用系统弱点root设备]

[安全:恶意程序GODLESS利用系统弱点root设备]趋势科技报告了被称为GODLESS的新移动恶意程序家族,利用Android5.1及更早版本的系统弱点root设备,然后在设备上安装难以删除的恶意的系统应用。Android5.1及更早版本的份额占到了整个Android生态系统的九成。含有GODLESS代码的恶意应用出现在了众多的应用商店,其中就包括了GooglePlay。GODLESS感染了全世界85万设备。一旦用户下载了恶意应用,恶意程序会等待设备屏幕关闭后才开始运行悄悄root设备,root之后会安装名叫__image的系统应用。研究人员发现,GooglePlay商店中名叫SummerFlashlight的应用包含了恶意GODLESS代码。该应用已经被移除。http://blog.trendmicro.com/trendlabs-security-intelligence/godless-mobile-malware-uses-multiple-exploits-root-devices/
封面图片

[ 新版恶意程序感染世界各地的ATM机器]卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感

[新版恶意程序感染世界各地的ATM机器]卡巴斯基研究人员发现了一个新版的恶意程序Backdoor.Win32.Skimer正感染世界各地的ATM取款机。犯罪分子可利用新Skimer恶意程序获取的银行卡的PIN码和纸币在机器中的位置。恶意程序用Themida加壳,如果检测到系统使用的文件系统是FAT32,它会在C:\Windows\System32中添加文件netmgr.dll;如果是NTFS文件系统,netmgr.dll会植入到NTFS数据流可执行文件,增加分析和检测难度。https://securelist.com/blog/research/74772/atm-infector/
封面图片

[安全: 小米手机发现漏洞允许远程安装恶意程序]

[安全:小米手机发现漏洞允许远程安装恶意程序]小米开发的Android定制系统MIUI发现了一个高危漏洞,允许中间人攻击者在目标设备上以系统权限远程执行任意代码。小米已经释出了修正版本,推荐用户立即升级。发现漏洞的IBM研究人员公布了漏洞的细节:漏洞存在于MIUI的分析包中,使用该分析包的应用都易被中间人远程执行代码,研究人员在包括内置浏览器在内的多个应用中发现了漏洞,如果应用有系统级权限,那么攻击者就能以系统级权限执行代码。漏洞存在的主要原因是MIUI的应用升级是通过HTTP连接。https://securityintelligence.com/remote-code-execution-in-xiaomi-miui-analytics/
封面图片

#安全 [恶意程序感染希捷NAS硬盘后挖矿]

#安全[恶意程序感染希捷NAS硬盘后挖矿]恶意程序变种Mal/Miner-C(akaPhotoMiner)正在感染联网的SeagateCentralNAS设备,然后利用被感染的硬盘感染连接的电脑去挖Monero数字货币。Mal/Miner-C利用了希捷NAS硬盘的设计缺陷将其置入到公共数据文件夹。希捷NAS硬盘允许用户从本地网络访问,如果管理员允许远程访问用户也可以从互联网上访问。NAS硬盘有一个公共文件夹,允许任何用户访问,其中包括匿名非登录用户,它无法被删除。Miner-C将自己拷贝到互联网上能找到的希捷NAS硬盘的公共文件夹,伪装成标准的Windows文件夹图标。研究人员发现能从互联网访问的希捷NAS硬盘中有70%感染了Miner-C,它至今利用被感染的设备挖掘了价值7.6万美元的Monero数字货币。http://news.softpedia.com/news/cryptocurrency-mining-malware-discovered-targeting-seagate-nas-hard-drives-508119.shtml
封面图片

中国公司收购 Polyfill 之后植入恶意程序

中国公司收购Polyfill之后植入恶意程序polyfill.js是广泛使用的用于支持旧浏览器的开源库,有逾10万网站通过cdn.polyfill.io域名嵌入了该脚本。今年二月,一家中国公司收购了该域名和相关Github账号,然后通过cdn.polyfill.io向移动设备植入恶意程序。新拥有者还迅速删除了Github上的相关讨论。Polyfill原作者建议移除该脚本,因为现代浏览器不再需要它,但如果必须使用,可以用CDN服务商Fastly和Cloudflare的替代。安全研究人员发现,植入的恶意程序使用假的Google分析域名www.googie-anaiytics.com将移动设备用户重定向到博彩网站。代码针对逆向工程有特定保护代码,而且只在特定时间对特定移动设备激活。它在检测到管理员后不会激活。当检测到网络分析服务时它会延迟执行。关注频道@ZaiHuaPd频道爆料@ZaiHuabot
封面图片

Android 恶意程序 BRATA 能在窃取数据之后抹掉设备所有数据

Android恶意程序BRATA能在窃取数据之后抹掉设备所有数据最新版本的Android恶意程序BRATA能在窃取数据之后将设备恢复到出厂设置,抹掉设备上的所有数据掩盖其活动痕迹。BRATA在2019年最早被发现时属于一种AndroidRAT(远程访问工具),主要针对巴西用户。安全公司Cleafy在2021年12月报告BRATA开始在欧洲等地出现,并增加了更多功能,它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户,每个变种针对了不同的银行,都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹,会在执行渗透前删除安全工具。——solidot

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人