威胁

一种”洋葱”勒索软件的新型变体已然问世，尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么，CTB-Locker就是一种类似于”加密锁”的恶意软件，通过对用户主机上的所有文件进行加密，然后向用户索要解密这些文件的赎金。 CTB-Locker（即Curve Tor Bitcoin Locker）与其它勒索软件有所不同，它很大程度上依靠的是恶意软件命令和控制服务器，即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor（洋葱路由）也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者，赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度，而使用非常规的加密协议使得文件根本无法被解密，就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称，新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加，该勒索软件竟然还向受害人提供了类似于”试用版”的程序，可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言：德语、荷兰语和意大利语。除了直接连接Tor网络外，还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑（每周都备份一次）。此外，你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染，根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金，但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意，你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否，勒索软件就是门一本万利的生意，随着我们的日常生活和财产越来越多地连接到所谓的”物联网”，伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止，卡巴斯基安全网络已检测出了大约361次尝试感染，大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染，除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件，”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写：卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染，恢复文件的唯一方式是支付赎金，但就算支付了也未必能恢复。现实就是那么残酷。

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上，提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上，该漏洞是该操作系统的一部分。据报道，Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问，Thunderstrike像所有boot-和rootkit类病毒一样，是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒：通过传染病毒产生毁灭性的后果，但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件，存在于计算机操作系统内的引导进程内，通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统，bootkit依然存在。因此bootkit难以被发现和移除，只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件，可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况，通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上，可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件，只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体，即通过雷电连接进行感染的可行性相对更高一些。事实上，我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”，通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样，只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后，才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱，但传输速度更快。打个比方，感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”，尽管事实上感冒并不会致命。 同样的，旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike，但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机，且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒，因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统，使其记录包括磁盘加密密钥在内的键盘按键，还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说，如果你能小心提防窃贼的话，就能有效防范。 在此期间，你可以听些AC/DC乐队的歌放松一下：

本周受关注恶意软件： 病毒名：Trojan.Win32.Lethic.a 文件大小: 20992字节 创建注册表: “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRun” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRunOnce” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” 创建文件: C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe 主要行为： 这是一个木马程序，运行后会将自己拷贝至”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe”，并添加到开机自启动，然后删除自身。接着其会通过远程线程注入的方式将恶意代码注入到系统进程”explorer.exe”中，并创建名为”zyan85asc”的互斥体，防止木马重复运行。最后该木马会连接远程地址”91.***.105.85:7700″，一旦连接成功则会允许远程主机控制受感染的电脑。此外，该木马程序还会使用Inline hook 的方式让当系统进程”explorer.exe”调用API “ntdll.RtlFreeHeap”时，执行其携带的恶意代码。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

本周受关注恶意软件： 病毒名：Trojan-Spy.Win32.Backoff.a.txt 文件大小: 53760字节 主要行为： 这是一个能够窃取用户敏感信息的木马程序。该木马运行后会获取计算机名、用户名、操作系统版本等信息。然后遍历进程并查找”outlook.exe”进程，找到则结束该进程。通过在搜索文件”%appdata%MicrosofttOutlook*.pst”，获取outlook保存用户邮件的数据库文件；接着搜索Mozilla浏览器的邮件工具–ThunderBird的配置文件”%appdata%Thunderbirdprofiles.ini”和ThunderBird的数据库文件”abook.mab”。它通过搜索以上文件，进而获得用户的邮件、邮件地址、邮件联系人等信息，并将获得到的用户敏感信息写入到”Emails.txt”中，然后通过HTTP请求将”Emails.txt”作为附件发送到远程地址”dns.******-host.org”，然后删除文件”Emails.txt”。最后该木马程序向”explorer.exe”进程注入一段shellcode，休眠3秒后自删除。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic)，源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。 Zeus（宙斯）正如其名字一样，堪称网银恶意软件中的”王者”。Zeus首次出现于2007年，一经出现即对众多网银账户大肆破坏。2011年，其开发者不再继续对其开发和更新，之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失，但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体，其中包括：GameOver、Zitmo和其他许多威胁。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者，还能够激活受感染机器上的摄像头和录音工具。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者，还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是：通过窃取网银登录凭证和让网络攻击者掌控受害人机器，从而执行欺诈性资金交易。 和一些早期的网银木马病毒一样，”幽灵”通过部署恶意web注入技术，旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手，根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法，还在于能窃取第二重认证信息，例如：用户将在受感染浏览器输入的一次性密码和短信代码。 #Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。 “幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本，该恶意软件通过一脚本重写银行安全警报系统，使得网络攻击者能够以用户账户执行交易。在俄罗斯，受感染用户甚至无法访问其银行网站，因为”幽灵”通过注入内联框架，将用户重新定向至相似度极高的钓鱼网页。 然而，在将触手伸向网银登录凭证之前，”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样，”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式，该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式，以利用微软办公软件内的远程代码执行漏洞（已于4月份修复）。但该软件无法在适当更新的设备上运行。此外，卡巴斯基安全产品用户也完全受到保护，可免于这一威胁的侵害。

本周受关注恶意软件： 病毒名：Trojan-Ransom.Win32.Fury.a 文件大小: 67584字节 创建文件: %appdata%UpdSysDrv32Xz32[8位随机字母].exe 创建注册表: HKEY_LOCAL_MACHINE]SOFTWAREMicrosoftWindows UpdSysDrvNamxz32=”[8位随机字母].exe” [HKEY_CURRENT_USER]SoftwareMicrosoftWindowsCurrentVersionRun UpdSysDrvX32z32=”%appdata%UpdSysDrv32Xz32[8位随机字母].exe” 主要行为： 这是一个木马程序，运用了PE映像切换的技术，将恶意代码注入到系统程序”svchost.exe”。首先，它会通过挂起的方式打开系统进程”svchost.exe”，然后通过ZwMapViewOfSection、ZwUnmapViewOfSection、ZwCreateSection等Native API将svchost.exe映射在内存中并修改了svchost.exe的入口点，使其跳转到恶意代码的入口。然后，它会利用ZwResumeThread恢复挂起的svchost.exe进程，使恶意代码被运行。恶意代码运行后，会从远程地址下载其他恶意程序；遍历所有硬盘并加密以下后缀名的文件”*.odp|*.xls|*.mdb|*.wb2|*.cdr|*.cr2|*.orf|*.srw|*.p7b|*.odm |*.accdb|*.mdf|*.dng|*.dcr|*.raf|*.x3f|*.p7c|*.odc|…”，然后弹出带有支付地址的锁屏窗口，提示用户支付相应费用来换取解密文件，从而达到敲诈勒索的目的。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

卡巴斯基中国地区每周病毒播报(2014年11月17日–2014年11月23日)

近期，几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”（读音：reɪ*ɡən –与美国前总统里根名字的读音相似）。尽管我们无法将矛头直接指向某个特定国家并对次大加指责，但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后，其它公司的大量相关报告接踵而来，在最初的研究结果基础上加入了更多的新内容，这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示，Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视，但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM（全球移动通信系统）提供商，将前者成为攻击目标并无不寻常之处，但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代（2G）移动通信技术（3G和4G网络的前一代产品）的话，你们一定会恍然大悟。然而据报道，GSM是大多数电信运营商所用移动网络的默认标准，供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息，从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界，我们太过依赖于移动手机网络所采用的陈旧通信协议，同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制，允许执法机构追踪犯罪嫌疑人，这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示，这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证，从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时，就能通过基站控制器对电话进行管理。

就在一年前，有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置，也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒，创造这一病毒的原因又是什么，到现在依然是个谜。然而，有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高，因为该恶意软件的确有能力让铀浓缩离心机无法正常工作，从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击，并进行大规模的破坏活动。正如许多专家所监控到的，该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标，因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者，她于11月11日出版了一本名为《Countdown to Zero Day》（零日倒计时）的书。从该书中，我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动，而将更多注意力放在该病毒的迭代，正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末，而这正是得益于该恶意软件的一个有趣属性：即自动保存所有曾感染过的计算机历史记录，包括：主机名、域名以及IP地址。尽管这一数据不断更新，但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告，其中确定了五家最先遭受震网病毒感染的公司（事实上，其中两家公司在2009年和2010年遭受了两次攻击），但并未公开披露这五家公司的名字。为了确定到底是哪几家公司，我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero Victims The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)

就在昨天，有关研究人员表示他们已向苹果告知发现了为WireLurker恶意软件所利用的漏洞，该恶意软件将iOS移动设备作为攻击目标，通过USB连接Mac OS X系统和Windows系统设备进行感染。 这一漏洞被称为”Masque“，它的感染范围包括iOS 7.1.1、7.1.2, 8.0、8.1和8.1.1 beta这些系统版本。最令人感兴趣的是，尽管最初报告显示该恶意软件仅能通过USB连接感染iOS用户设备，但就在昨天，来自FireEye公司的研究人员表示Masque bug还能为短信和电邮所利用。然而，要想通过短信或电邮感染设备，前提条件是攻击者必须要让受害者点击下载恶意应用的链接。 有关研究人员透露了一种能为#WireLurker# #苹果# #恶意软件#所利用的危害巨大的#iOS漏洞# 从技术上讲，Masque完全能让网络攻击者实现将合法iOS应用替换为恶意应用，且不会出现任何通知。从某种程度上看，之所以所存在这一漏洞，很大原因是因为当应用开发商没有向App Store上载应用时，iOS企业无法对给定应用的数字证明进行反复检查，进而也无法确定应用的真实身份。 因此在这样的情况下，iOS就无法对合法签字的WireLurker证书进行标记–尽管使用的是不同证书–因为恶意软件只从受感染台式机或笔记本电脑上将应用直接上载至用户手机。这也是为什么它与一些早期的iOS恶意软件不同，WireLurker可以感染那些没有越狱的设备。 #WireLurker #Apple #Malware Targets Mac OS X Then iOS https://t.co/tAtWI93wrK #security pic.twitter.com/fKAsF8ArzL — Kaspersky Lab (@kaspersky)

“网络间谍”是21世纪出现的又一种”网络攻击武器”。甚至任何一款看似毫无危害的移动应用都能够通过粗心大意的用户不经意间地泄漏数据，盗取相当数量的个人隐私信息。这些全方位的监测活动通常将大型企业和政府机关作为特定攻击目标。 就在今年秋天，卡巴斯基实验室最新发现了一种被冠以”Darkhotel”称号的间谍网络，竟然在许多亚洲酒店的网络内存在了长达7年的时间。此外，一些聪明的专业网络间谍门早已开发出了一款包含了各种用来入侵受害者计算机方法的全面”工具包”，以入侵受害者的计算机。 美国联邦调查局（FBI）在2012年最先提到了将酒店内住客作为攻击目标的网络犯罪行为。然而，其实早在2007年的时候，被用于Darkhotel间谍活动的恶意软件（即，Tapaoux）就已经在亚洲各大酒店出现了。通过对用来掌控该网络间谍活动的C&C服务器日志研究后，安全研究人员发现其中的连接最早可以追溯到2009年1月1日。综上所述，我们可以得出这样的结论：此类网络间谍活动已存在了相当长的一段时间。 # Darkhotel# 间谍活动似乎已存在了数年之久。 入侵受害者个人电脑的主要手段是通过在许多亚洲豪华酒店的Wi-Fi网络。这些网络犯罪分子主要利用存在于Adobe Flash和知名供应商的其它流行产品中的零日漏洞实施攻击。此类漏洞难以察觉，且事实证明这些间谍活动背后有着雄厚的资金支持，如此才能买得起如此昂贵的”网络攻击武器”，或者也有可能参与这些网络间谍活动的代理人拥有极其深厚的专业背景。也有可能两种情况同时存在。 上述所介绍的植入间谍软件方法是使用最频繁的一种，但并不是唯一，从这些网络犯罪分子的攻击手段来看，他们很可能由酒店本身所雇佣。此外，还可选择通过torrent客户端散播木马病毒，比如嵌入到中文版的成人漫画中。 因此，这些网络间谍还会利用有针对性的网络钓鱼，以及向政府雇员和非营利组织发送受感染的电邮等方式展开攻击。 网络犯罪分子采用精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 除了利用零日漏洞以外，许多事实证明这些网络犯罪分子拥有高深莫测的洞察能力。他们甚至能够成功伪造安全凭证用于他们的恶意软件中。为了暗中监视受害者的通信渠道，网络犯罪分子采用了精密高端的键盘记录器。间谍软件在流行浏览器内部署集成组件以窃取密码。 令人惊讶的是，这些犯罪分子行事极其小心，并设计了许多方法以防范其恶意软件被侦测出来。首先，他们确保植入的病毒有相当长的一段’潜伏期’：木马病毒在入侵系统前，需要在C&C服务器内潜伏长达180天的时间。其次，一旦系统的语言改为韩语后，间谍程序即会自动销毁。 这些网络犯罪分子主要活动于日本、中国及台湾地区。卡巴斯基实验室能够侦测到在其它国家实施的网络攻击，就算犯罪分子离受害者所在国家距离遥远也能被侦测出。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel评论道：”在过去的几年中，一款被称为”Darkhotel”的强大间谍软件针对众多名人成功实施一系列的网络攻击，所使用手段和技术水平不是一般的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力，而所具有的其他优势足以随意利用受信任的商业网络，并将特定受害者类别作为攻击目标，其背后有着极强的商业策略目的。 The #Darkhotel espionage campaign: A story of unusual hospitality https://t.co/iXQykGmjwE — Eugene Kaspersky (@e_kaspersky)

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Trojan-Downloader.Win32.Obuvka.and 文件大小: 103424字节 创建文件: %temp%tmp[8位随机数].bat 访问恶意网址: fixiland.su/mod_j********_products/mod_smartslider2 fixiland.su/mod_j********_products_uef/mod_maximenuck slimsize1.su/c****og/89690 主要行为： 这是一个木马程序。该程序运用了远程线程注入技术，可将恶意的DLL文件从内存注入到系统进程 “explorer.exe”中。在这个程序的内存中存在功能相同版本不同的两个DLL文件:32位和64位。恶意程序运行时首先判断是否为64位操作系统，从而选择要注入的DLL的版本。当恶意的DLL文件被注入到系统进程后，会访问恶意的网址，并从这些网址下载其他恶意的程序。在注入完成后，通过释放的批处理文件完成自删除，来增强恶意程序的隐蔽性。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

我们所生活的这个时代令人痴迷，计算机和网络正越来越多地与我们的日常生活息息相关。不久前，我们还只是将计算机和网络用在办公室和生产设施，但今天，它们早已走进了我们的客厅和厨房，几乎人手一部可连接计算机的移动设备。我们正在步入美好的互联网时代，几乎所有东西都将被接入网络。 我们越是将日常工作更多委托给计算机处理，对于那些热衷于”挖掘”他人隐私的坏家伙（网络犯罪分子）和好家伙（有正当理由使用黑客技巧的在执法机构官员）来说就更具吸引力。 如果我们将他们可能相反的动机放在一边，另一个有趣的特征也能将他们区分开来：网络入侵和间谍活动于情报局而言几近犯罪行为，但确也是他们日常工作的一部分。 合法恶意软件现象 当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化，与信息安全市场的定位完全不同。例如，出售零日漏洞（类似于缺乏适当安全解决方案的漏洞）问题日益突出。 网络犯罪合法化正成为网络犯罪业务领域的新趋势。 目前任何人（能够买得起某些标价超过6位数以上的漏洞）都能购买漏洞利用工具并适时加以使用—通常用于保护自己的资产，但是事实上，可用于任何的东西。此类漏洞的交易完全可与导弹或精密炸药这样的军火交易相提并论。 此外，一些公司会提供能网络潜入的全功能软件包，并在掌控受害者计算机后即能监视他们的一举一动。我们曾此前讨论过顶级间谍木马病毒 – 这一情况好比出售全套虚拟文件系统。 FinFisher的广告标语显示了其完美的合法入侵和远程监控手段。提供此类服务的公司众多，范围从政府下属最大的国防工业大型综合性企业到中等规模的独立公司。 后者当然不会向任何人出售恶意软件，但其客户名单却包罗万象：除了政府情报组织以外，还包括了一些大型企业。此类网络”雇佣兵”的服务产品还热销于第三世界国家政府（例如：巴基斯坦和尼日利亚）。 此外，你还会注意到网络间谍服务的实际买家并不一定就是表面购买的那个：曾发生过将监控和过滤解决方案出售给阿联酋后，最终由受禁运国叙利亚获得。 无论如何，从卡巴斯基实验室的经验看，私人开发的合法恶意软件不仅出售给”拥有合法权”的情报局（其用途合法性到底几何非本文讨论主题），也会落入极端功利的第三方手中。换句话说，尽管作为普通人的你与网络犯罪或政治领域毫不相关，但总有一天你会发现自己也受到牵连。 到底有多危险？ 可以说是相当的危险。类似恶意软件专为手握大把钞票的客户而量身打造。其技术水平之先进，并非只是不良少年或小偷小摸的犯罪分子从信用卡内偷几百块美金那么简单。 此类恶意软件开发者的深刻见解载于了维基解密中，上面有这样一句话：传统反病毒软件对其产品无法造成任何威胁。 合法恶意软件开发商在其产品内使用了大量先进技术，能够完全躲避病毒分析人员的追踪并防止其暗中监视。 我们该如何应对？ 事实证明此类技术的确有其局限性所在：要想偷偷入侵系统并没有什么神秘性可言，需要的只是一款通常的恶意软件。 因此，这意味着卡巴斯基实验室解决方案中所使用的启发式算法（基于搜索与恶意软件有关可疑属性的检测方法）完全能过滤网络”雇佣兵”的攻击。 卡巴斯基启发式算法能成功捕获极具创造性的网络”雇佣兵”。 例如，通过我们对FinFisher产品的研究（合法网络武器市场中最优秀的一家公司）证明与FinFisher的说法完全相反，我们的卡巴斯基反病毒6.0（MP4）内所采用的启发式算法分析器能成功处理此类威胁。 考虑到一些界限模糊的’反网络犯罪分子’工具最终会落入”不法分子”手中，这意味着每个用户都应安装一款运用相关技术可应对高精密性威胁的反病毒软件。

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Backdoor. MSIL.Agent.nmx 文件大小: 60416字节 主要行为： 这是一个用”Microsoft Visual C#”语言编写的后门木马程序。该木马会窃取用户的隐私信息，并且会被远程控制及接收远程计算机的指令，执行相应的恶意代码。它能够对用户的桌面截图，并将图片文件保存并压缩为.RAR文件；还可检测用户安装的杀毒软件，并获取杀毒软件的名称；此外，它还会检测用户是否安装摄像头，并能通过执行指令完成打开摄像头和关闭摄像头的操作。在获得用户的FTP软件FileZilla的账号和密码、获得计算机名、IP地址、操作系统类型等信息后，该木马还能通过多命令行接收指令，实施从指定网址下载文件、运行指定路径的文件、打开指定的网址、挂起指定进程、结束指定进程等操作。另外，该木马还能够编译脚本，将指定的脚本文件编译成可执行文件，最终将获得的信息通过网络发送到指定的地址。 专家预防建议: 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

卡巴斯基安全软件2015自上月推出以来，获得了社会各界的一致好评。 渐入佳境：卡巴斯基安全软件2015的优势所在。 以下七大改进功能解释了KIS 2015之所以如此受好评的原因: 1.安全支付：现在大多数人都会通过在线网银办理银行业务，这意味着这些金融交易必须像在银行柜台办理时一样安全。卡巴斯基的安全支付功能大幅提升安全级别，保护包括银行卡或信用卡在内的所有在线交易和购物行为的安全。 2.身份保护：采用了最新反钓鱼技术，可保护您免受最常见的身份威胁，同时安全键盘功能还能抵御专用于窃取密码的键盘记录程序。 3.实时保护：由行业领先安全专家所研发的产品，其优势在于可通过不断更新安全协议来保护你的系统，同时抵御所有最新出现的威胁。 由行业领先安全专家所研发的产品，其优势在于可通过不断更新安全协议来保护你的系统，同时抵御所有最新出现的威胁。 4.上网管理：不管你喜欢与否，喜爱上网是孩子的天性。卡巴斯基屡获殊荣的”上网管理”功能让您能监视孩子在网上的一举一动，并阻止所有挑选出的不良网站。 5.Wi-Fi安全通知：对于那些经常出差在外的用户而言，了解所连接无线网络是否安全至关重要。KIS 2015能够对不同网络的安全性进行评级，一旦发现漏洞，即会告知用户所用网络将对设备系统造成威胁。 6.CPU占用最少：安全程序在保护系统安全时不仅不会占用太多CPU，也不会因使用计算机太多资源而导致程序和系统功能速度减慢。KIS 2015只在后台运行，使用最少的资源提供最大的保护，为计算机保驾护航的同时确保完备的功能。 7.网络摄像头保护:网络摄像头是一种很好的与家人、朋友和同事沟通和联系的方式，但也同样成为了网络攻击者的攻击目标。他们通过不光彩的手段获取远程访问这些设备的权限，从而对用户的生活和工作造成不小的困扰。KIS 2015在有应用尝试访问网络摄像头都会向用户发出警告，并且只有在用户明确授权的情况下，才能访问类似Skype或Hangouts这样的程序，否则所有访问尝试都会被阻挡在外。 7大原因显示卡巴斯基安全软件2015比以往所有版本更加出色#网络安全#数字隐私

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Backdoor.Win32.Bifrose.gbo 文件大小: 151430字节 创建文件: C:SetupCacheMgr.exe C:Setupcsetup.tmp 创建注册表: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun StubPath=”C:setupcachemgr.exe -as” HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components2CBE016A-8F28-4E0C-83A6-6079161294D7 StubPath=”C:setupcachemgr.exe -ax” 主要行为： 这是一个伪装成文件夹图标的后门程序。木马运行时首先将自己拷贝至C:SetupCacheMgr.exe，创建名为”2CBE016A-8F28-4E0C-83A6-6079161294D7″的互斥体，防止木马实例被重复运行。随后，它会将自身添加到开机自启动项，确保每次开机时运行木马程序，并创建新进程 “C:SetupCacheMgr.exe -ax”，创建文件 C:Setupcsetup.tmp，用来记录用户电脑被木马攻击的日期。利用受感染的主机对一些特定的IP地址进行DDos (分布式拒绝服务)攻击，使得被攻击目标无法对合法用户正常响应，然后从网址 “secure-*******updates.net/updates/system/update.php” 下载安全性未知的文件(URL已失效)。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

是否还能记起以前我们只有一台电脑的年代？这些岁月早已一去不复返。就在写这篇文章的时候，我随意四周观察了下，有找到了不下6种电脑型设备，而这些也只是日常使用设备中的一部分而已。据统计，一个美国家庭平均拥有5台可连接互联网的设备。随着越来越复杂的在线威胁不断出现，所有联网设备都很难幸免于难。每一种设备都有不同的平台、应用和界面，的确令人眼花缭乱，那我们是否还有其他更简便的方式来保护所有设备呢？ 当然问题的解决方法不止一个，但你的卡巴斯基实验室朋友们在这里向你推荐一个全新门户网站-My Kaspersky。无论您身处哪里，只需登陆My Kaspersky中心网站，即能管理多台设备的所有安全功能，且使用相当方便。 My Kaspersky作为一个最新的中心网站，在这里你可以对已使用的所有安全保护功能进行部署、监控甚至修改。 具体来说，用户只需登陆My Kaspersky门户网站，即能一屏式并实时观察所有受保护的设备，包括：实时保护状态以及远程管理设备安全的能力。无论用户身处哪里，都能通过远程管理界面对一台或所有设备进行扫描，以检测是否存在威胁。此外，还能对运行卡巴斯基产品的所有设备进行设置更改。 如发现设备丢失或被盗，用户还可以开启针对移动设备的反盗窃管理服务，功能包括：远程锁定、设备定位以及数据清除。内置摄像功能可以对你手机的当前持有人进行偷拍，以确定犯罪嫌疑人。你还能远程打开噪音发射功能让手机自动发出警报声，即使设备已调至静音也同样有效。作为目前最先进的技术，就算有人将你被盗设备内的SIM卡换成新的，所有这些功能仍可运行。 此外，只要你登陆了该门户网站，你不仅能管理产品许可证以及查看所有许可证的剩余时间，还能激活安全保护、开启数据库更新，甚至还能在所有设备上启用或禁用你认为合适的产品功能和设置。你还能使用例如卡巴斯基密码管理器的其它免费和收费服务（包括促销和打折活动）。除了上述这些功能以外，My Kaspersky还可以让客户向卡巴斯基技术支持发送技术请求，其中将自动包含了你许可证的所有信息。换句话说，My Kaspersky就是一个中心网站，你可以在上面随意部署、监控和修改使用的所有安全保护功能。 正如我们在上文所提到的，只使用一台电脑并只需要单个电脑保护功能的时代早已一去不复返。你的Windows电脑或平板电脑早已成为网络攻击者们眼中的”香饽饽”，背后的原因在于其处理能力和所存储的数据。过去Mac电脑和其它苹果产品对基于网页威胁免疫的年代也早已远去。安卓平台和其它恶意软件是其中增长最快速的一类威胁。当然，单单只有安全产品的话并不能完全保护你的设备，但它们却始终处在安全防御的第一线，同时也是最后一道屏障。但你依然必须时刻考虑安全问题，但如果你正在读我们这篇文章的话，这说明你已经正在考虑了。 My Kaspersky只是多一种选择，确保设备管理在自动化方面正在努力发挥出全部的潜能。至于人的方面的网络安全问题，我们将通过Kaspersky Daily为您带来有关所有最新的网络威胁新闻，以及它们的运行方式和所需要采取的保护措施。 My Kaspersky让用户远程控制#所有设备安全功能成为可能

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Trojan.Win32.Straftoz.c 文件大小: 189440字节 主要行为： 这是一个木马程序。该木马运行后会通过以下方法来反沙盒和反虚拟机:1、判断沙盒模块SbieDll.dll是否被加载；2、判断虚拟机的服务是否开启”\.HGFS” “.vmci” “.VBoxGuest”；3、创建名为”Frz_State”的互斥体，判断是否已经运行。如果满足任一条件，则直接退出木马程序。反之则执行恶意代码：通过窗体名获得”explorer.exe”进程句柄，通过远程线程将恶意代码注入到系统进程中，然后退出当前程序。注入到”explorer.exe”的恶意代码会查找%appdata%下的所有文件，并打开网址hdseriales*******andtvonline.com，最后删除木马程序，增强木马的隐蔽性。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

多家安全领域专业网站对全新卡巴斯基安全软件2015极力推荐，对于新产品的防御能力、易用性以及资源占用少等特点更是赞不绝口。我们不便评价自己的产品，下面让我们一起来听听安全领域的十大专业网站是如何评价我们的新产品： 安全领域十大专业网站对全新卡巴斯基安全软件2015极力推荐 1.7 Tutorials网站表示，KIS 2015″继续向市场交付最出色的反恶意软件保护功能，其性能影响对于最新电脑和设备几乎可以忽略不计。” 2.Betanews网站这样写道：”卡巴斯基安全软件2015在一些重要的安全功能方面更胜一筹：这是一套精确且可靠的安全产品，在防范恶意软件方面尤其出色。” 3.PCWorld网站对卡巴斯基多设备版的保护功能极力推荐，并表示：”卡巴斯基安全软件—多设备版2015将成为设备迷们的最爱。保护能力和性能出色，且界面设计更为精致优美，且相比2014版在实用性方面丝毫没有减弱。” 4.亚马逊网站给予KIS 2015最高分五颗星的评价，该网站评论员Danny Penn表示：”如果我的KIS 2015使用到期了，我一定会续订的…” 5.Software Crew网站表示KIS 2015的家长控制功能是”一款优秀的组件，完全能与其它独立产品相媲美。”对于Safe Money功能，他们这样写道：”我们总共用了3种商业键盘记录器进行了测试，测试结果让我们完全确信只要安装 Safe Money功能，能够防御任何网络犯罪分子的盗窃行为。” “KIS 2015继续向市场交付最出色的反恶意软件保护功能，其性能影响对于最新的电脑和设备几乎可以忽略不计。” – 7 Tutorials网站 6.”总体来说，这款产品是目前最出色的安全套件之一，”Malware Tips网站评论员MrExplorer这样写道–而Malware Tips网站成员BoraMurdar却对这一评价”不太认同”，他这样说道：”这款产品并不是可能最出色，而是的的确确最出色，没有之一。” 7.CNet’s Download.com网站表示：”卡巴斯基安全软件2015是迄今为止最优秀的版本，并显然是专为Windows系统而设计的反病毒应用中最出色的一款。”该网站还将KIS 2015添加进了”优选产品”列表。 8.PCMag网站说道：”反病毒功能是卡巴斯基安全软件（2015）的明星组件，在所有独立[测试]实验室都获得了最高评分。” 9.”我们都喜欢这一全新的界面，当然还少不了拥有强大防御功能的套件。”

您可能已经留意到近期的网络犯罪活动，即加密勒索软件的发展动向。这类勒索软件无意隐瞒用户悄悄入侵，而是利用锁定程序通过强加密码来锁住用户文件，以此勒索用户支付赎金进行解密。这类恶意软件系列中最广为人知的是Cryptolocker和CryptoWall及类似软件。不幸的是，实际这类犯罪计划的吸金能力超强，所以更新、更强大和更有效的加密木马层出不穷，屡禁不止。本文旨在提醒用户警惕”洋葱”（Onion）勒索软件（又名CTB锁定程序）。此软件利用匿名TOR（洋葱路由器）网络和比特币来更好地隐匿犯罪分子，使执法机构难以追查到犯罪分子的行踪、其掠夺的不义之财以及用于加密用户文件的密钥。 犯罪分子使用TOR后，要想追查到其行踪以及恶意软件控制服务器都难上加难。而利用比特币这种匿名的网络货币（这是唯一可选的支付方式），追踪资金流向更加复杂。那么这一切对于普通用户来说又意味着什么呢？犯罪分子很可能在很长一段时间内都会利用这种恶意软件来实施犯罪活动。此外，这种恶意软件会一直在地下论坛中出售，在全球各地大肆泛滥。这也是为什么我们预计恶意软件会感染其他地区，尤其是过往曾是勒索软件散播”乐园”的美国和英国等地。 洋葱锁定程序从技术方面来说是一种非常复杂的恶意软件，它运行时悄无声息，直到用户的全部文件被加密，并通过TOR将密钥相关数据上传到自己的控制服务器后，才会向用户显示警告并进行72小时倒计时。用户须支付0.2-0.5个比特币（约合120-350美元）才能获得解密密钥。如果用户未在72小时内付款，则密钥（连同所有加密文件）被视为丢失。犯罪分子会”好心”向用户提供有关购买比特币的提示，并在用户必须从其他计算机购买密钥时提供相应指导信息。 “将命令和控制服务器隐藏在匿名的TOR网络中，使得追查犯罪分子的工作变得复杂，要利用非正统的加密方案来解密文件是不可能的，就算拦截木马与其幕后服务器之间的流量也毫无帮助。所以说这是一种危险性极高的威胁，也是目前技术方面最先进的加密手段。”卡巴斯基实验室高级恶意软件分析员Fedor Sinitsyn说道。 目前，这种恶意软件的散布利用的是传统犯罪手段：网页。它利用网页上的工具包来启动木马下载，此木马下载到用户计算机后，接着会下载洋葱加密程序。要了解更详细的分析，请访问Securelist.com。 避免感染洋葱锁定程序和其他类型的加密勒索软件 为了防止计算机被感染，请定期更新计算机上的关键软件组件：操作系统、浏览器和所有插件（媒体播放器、Java、PDF阅读器等）。此外，还建议使用强大的卡巴斯基安全软件解决方案。附带提一下，最新版卡巴斯基安全软件已经部署了专门的技术来应对加密勒索软件。要想在发生任何系统灾难后恢复数据，不管是被勒索软件攻击、数据被盗还是受到”洪水攻击”，定期将数据备份到安全的可移动媒体至关重要。

每一个人都希望自己的计算机和移动设备运行平稳，但目前有存在大量的谬论是有关威胁和保护设备免受威胁的最佳方式。这里我们精心挑选出了5个流传最广的关于反病毒保护的谬论，并分别还原事实的真相。 谬论1：只有Windows系统存在病毒 真相：由于Windows系统长期以来占据市场主导地位，因此攻击者往往都针对这些平台花大量时间设计病毒，因为这会使他们成功的概率更高。随着苹果设备在私人以及公共领域都获得了越来越多的关注，因此攻击者也逐步加大对苹果产品的攻击。目前，移动恶意软件正成为攻击者的 “前沿新阵地”，他们将主导市场的安卓平台安卓首选目标，当然也包括了iOS设备。这意味着，无论你的计算机或移动设备使用Windows还是iOS系统，安装一款强大的反病毒程序都是必不可少的。 有关恶意软件和反病毒程序的5个谬论及背后的真相 谬论2：进程错误或计算机性能差意味着我的计算机中病毒了 Windows操作系统长期占据市场主导地位。但攻击者已逐步加大对苹果产品的攻击，而目前移动恶意软件正成为攻击者的”前沿新阵地”。 真相：尽管这可能意味着你的计算机确实中了病毒，但是也很可能是因为太多后台进程同时运行所造成。对于计算机，应通过以下方式对系统进行”瘦身”：卸载不用的程序并升级经常使用的程序；清除浏览器内的缓存；以及对硬盘进行碎片整理或运行磁盘工具功能（针对苹果电脑）。对于移动设备，首先删除不使用的应用，并通过关闭自动升级、推送通知以及应用内的定位服务来尽量延长电池寿命，虽然这些服务通常合乎标准但却没什么实际的作用。 谬论3：从网上所下载的免费程序能够满足你所有的反病毒软件保护需求 真相：这些免费程序事实上只能提供一些基本的保护，但想要免遭网络钓鱼的攻击（会盗取你的个人和财务资料），你需要的是一款网络浏览器安全程序。无论你选择使用哪一款软件程序，只需具备一些基本的网络常识并在上网冲浪时保持谨慎，则完全可以免于遭受网络欺诈，以及直接的社交工程攻击。 谬论4：病毒是由反病毒软件公司编写的 错误：这一阴谋论可能是来自一些网络安全公司为了测试现有保护平台的极限能力而创造了一些病毒，但事实的真相是网络攻击者才是创造最新恶意软件的元凶，他们不遗余力地企图领先反病毒程序一步，设法窃取用户的敏感数据和金钱。 事实与虚构-反病毒软件与恶意软件 谬论5：计算机病毒会感染人类 真相：这是一个长久以来一直存在的阴谋论：即相信计算机病毒会感染人类。看过《独立日》电影的朋友应该还记得，外星人的飞船是被人类所编写的病毒打败的-但这确实是有科学依据的。