恶意软件

一种”洋葱”勒索软件的新型变体已然问世，尽管大多数时候被称为”CTB-Locker”或”Citroni“。 无论你称它是什么，CTB-Locker就是一种类似于”加密锁”的恶意软件，通过对用户主机上的所有文件进行加密，然后向用户索要解密这些文件的赎金。 CTB-Locker（即Curve Tor Bitcoin Locker）与其它勒索软件有所不同，它很大程度上依靠的是恶意软件命令和控制服务器，即通过使用Tor项目的匿名网络将自身屏蔽。利用Tor（洋葱路由）也有助于其逃避检测和被阻止。为了保护CTB-Locker背后控制者，赎金支付仅接受分散且大部分匿名的加密货币-比特币。 所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在”行业”内可谓数一数二。 “通过在匿名Tor网络隐藏命令和控制服务器很大程度加大了搜索网络犯罪分子的难度，而使用非常规的加密协议使得文件根本无法被解密，就算将在木马和服务器传输过程中的流量拦截也无济于事。”卡巴斯基实验室高级恶意软件分析师Fedor Sinitsyn在去年向《卡巴斯基每日新闻》透露道。”所有这些特性都使得CTB-Locker成为一种极具危险性的威胁，且所利用了的先进技术在’行业’内可谓数一数二。” 据Sinitsyn 称，新版CTB-Locker—卡巴斯基实验室产品检测到的是Trojan-Ransom.Win32.Onion —包含了一些有趣的更新程序。随着受害人数的不断增加，该勒索软件竟然还向受害人提供了类似于”试用版”的程序，可为用户免费解密5个文件。CTB所加入的一些新功能还能躲避被安全公司研究。另外还增加了3种新语言：德语、荷兰语和意大利语。除了直接连接Tor网络外，还可通过6个web-to-Tor服务进行连接。 防范该勒索软件和其它威胁的最佳方式是永远备份你的电脑（每周都备份一次）。此外，你还需要运行一款强大的反病毒软件以确保你的软件、操作系统以及其它应用程序都已打上最新补丁。一旦不幸被感染，根本没有恢复被CTB-locker所加密文件的可能。当然你可以支付赎金，但随着网络犯罪成为一门专业程度越来越高且以客户服务为导向的生意，你根本无法保证在支付赎金后能收到解密文件的密码。 不管你喜欢与否，勒索软件就是门一本万利的生意，随着我们的日常生活和财产越来越多地连接到所谓的”物联网”，伴随而来的问题将越来越严重。 #防范#该#勒索软件#和其它威胁的最佳方式是永远备份你的电脑。 迄今为止，卡巴斯基安全网络已检测出了大约361次尝试感染，大部分发生在俄罗斯和乌克兰。卡巴斯基实验室产品用户完全可以防范该勒索软件和其它加密恶意软件的感染，除非”系统监控”功能遭禁用。一旦有可疑程序访问用户文件，”系统监视“将立即备份这些文件并进行本地保护。请确保这一组件正常运行。 新闻缩写：卡巴斯基用户只需打开”系统监控”即可受到保护。如果你的电脑不幸被感染，恢复文件的唯一方式是支付赎金，但就算支付了也未必能恢复。现实就是那么残酷。

上个月在德国汉堡举行的第31届”Chaos Computer Club Conference”上，提及了首次被公开的OS X固件bootkit类病毒。 安全人员Trammell Hudson编写了这一攻击并将其命名为Thunderstrike。它利用了深藏在苹果OS X系统核心内的漏洞。事实上，该漏洞是该操作系统的一部分。据报道，Hudson随即联系了苹果公司并一起解决了除苹果笔记本电脑以外所有受到影响的设备。 毫无疑问，Thunderstrike像所有boot-和rootkit类病毒一样，是一种能够控制你在计算机上所有行为的严重威胁。你可以将它想象成是计算机界的埃博拉病毒：通过传染病毒产生毁灭性的后果，但受感染的可能性相对较低。 bootkit作为一种rootkit类恶意软件，存在于计算机操作系统内的引导进程内，通过发出各种命令从而完全控制受感染计算机。它们在操作系统载入之前感染主引导记录并在计算机启动时运行。即使你删除操作系统，bootkit依然存在。因此bootkit难以被发现和移除，只有使用高级的反病毒产品才能将它们彻底清除。 Thunderstrike作为针对OS X系统设备的bootkit类恶意软件，可通过直接硬盘访问或连接雷电接口进行安装。作为第一种情况，通过直接硬盘访问进行感染可能性不大。无论是厂商出厂安装固件或网络攻击者将你的苹果笔记本电脑拆开并手动将其安装到硬盘上，可能性都不大。 #Thunderstrike#作为针对#苹果电脑##bootkit#类恶意软件，只能通过直接硬盘访问或#雷电#接口线进行传播 然而第二种载体，即通过雷电连接进行感染的可行性相对更高一些。事实上，我们专门将此类攻击称之为”evil maid”攻击或”政府资助攻击”，通常在机场或过境时对笔记本电脑进行检查甚至没收时植入。当然当你不在自己计算机旁的时候这一方法同样奏效。 正如”埃博拉病毒”需要直接接触体液才能传播一样，只有当有人将你的计算机拆开或将外围设备通过雷电接口接入并安装恶意固件后，才会感染Thunderstrike恶意软件。 由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 其它恶意软件的破坏力相对较弱，但传输速度更快。打个比方，感冒通过空气传播且对公众的危险程度远高于”埃博拉病毒”，尽管事实上感冒并不会致命。 同样的，旨在占用计算机处理能力进而形成僵尸网络的恶意软件所引起的恐慌程度并不如Thunderstrike，但只是因为此类恶意软件能够通过网页注入、恶意电邮、隐蔽强迫下载或其它许多载体远程感染计算机，且对公众的危害性更大。 “鉴于它是OS X系统中出现的首个固件bootkit类病毒，因此目前根本扫描不出来。” Hudson说道。”它通过各种优先指令控制系统，使其记录包括磁盘加密密钥在内的键盘按键，还能在OS X系统内核中植入后门以及绕过固件密码。由于该病毒掌控了签名密钥和更新程序，因此无法通过软件进行移除。重装OS X系统也根本无济于事。同样更换固态硬盘也无法清除，因为它根本就没有保存在硬盘上。 要保护计算机免受Thunderstrike攻击的最好方式是确保当自己不在的时候没有人能访问你的苹果笔记本电脑。换句话说，如果你能小心提防窃贼的话，就能有效防范。 在此期间，你可以听些AC/DC乐队的歌放松一下：

本周受关注恶意软件： 病毒名：Trojan.Win32.Lethic.a 文件大小: 20992字节 创建注册表: “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRun” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” “HKEY_CURRENT_USER\SoftwareMicrosoftWindowsCurrentVersionRunOnce” v85a85a38e=”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe” 创建文件: C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe 主要行为： 这是一个木马程序，运行后会将自己拷贝至”C:RECYCLERS-1-5-21-0243556031-888888379-781862338-186176712r85a85asr31.exe”，并添加到开机自启动，然后删除自身。接着其会通过远程线程注入的方式将恶意代码注入到系统进程”explorer.exe”中，并创建名为”zyan85asc”的互斥体，防止木马重复运行。最后该木马会连接远程地址”91.***.105.85:7700″，一旦连接成功则会允许远程主机控制受感染的电脑。此外，该木马程序还会使用Inline hook 的方式让当系统进程”explorer.exe”调用API “ntdll.RtlFreeHeap”时，执行其携带的恶意代码。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

索尼黑客事件似乎为这个原本就精彩缤纷的圣诞节又增色不少。如果这一消息属实的话，之前被讨论得沸沸扬扬的纯喜剧片《采访》（由索尼出品）将不得不被迫取消上映。该部电影的故事主要围绕着两名被准许采访朝鲜最高领袖金正恩的美国记者展开，随后的剧情还讲到他们如何被授命刺杀朝鲜的专制独裁者。 2011年春天，索尼的PS网络因遭受黑客攻击而被迫关闭1个月之久，从而成为这一令其蒙羞的重大安全事件中的主角，显然索尼并没有从中吸取了足够教训。 此次事件整个过程大致如下： 首先，索尼影业遭到一伙宣称与朝鲜民主主义人民共和国结盟的黑客小组的攻击。随后，这群黑客开始将盗取的索尼公司专有资料随机发布在互联网上，包括：电影、即将拍摄或上映电影的剧本、敏感员工的医疗信息以及内部电邮脱机文件。最后，黑客还威胁如果《采访》上映的话就将攻击电影院，全美最大连锁影院- Regal Cinemas院线随即表示不会安排播放该部电影，而索尼最终也决定将《采访》无限期推迟上映。 通常来讲，背后有政府资助的黑客小组在进行黑客攻击时，行事都尽可能地隐秘。 大众舆论一致认为朝鲜政府是这一黑客攻击事件背后的黑手。此外，对此持怀疑态度的观点也同样不少，且有充分的理由支持。通常来讲，背后有政府资助的黑客小组在进行黑客攻击时，行事都尽可能地隐秘。你随便找出一个高级持续性威胁小组或黑客活动，都无法准确说是哪一个特定国家所为。从黑客攻击者的角度看，其攻击目的也同样无法100%确定。通过结合事实来分析其攻击目的，在互联网上显然无法奏效。 在这一事件中，宣称为这一攻击负责的黑客小组显然通过大量台式电脑在索尼网络上发布了一张色彩艳丽、荒谬和吓人的骷髅图像。大多数APT攻击小组根本不会在受感染网络上宣扬自己的存在。相反，这一”和平守护者”小组却发布了一些针对索尼、电影观众以及广大美国公众的严重威胁。 但问题依然存在：在某种程度上，索尼攻击事件的背后是否真有朝鲜政府参与？Threatpost和各大安全新闻媒体都采用了美国政府的观点，报道了朝鲜事实上的确参与了索尼攻击事件。就在新闻出版当日，美国政府所公布的事件细节依然不足，但预计在今天晚些时候美国白宫方面还将有更多的详细内容公布。 这留给了怀疑论者大量的想象空间，认为朝鲜政府参与了#索尼黑客事件# 另一方面，美国科技新闻评论网（Wired）坚持其观点，并进一步表示目前没有任何证据显示朝鲜政府与索尼黑客事件有丝毫的关联。Wired不仅搬出了黑客事件普遍难以指定到特定群体的理由，还援引了索尼和美国联邦调查局（FBI）的声明–双方均公开表示没有任何证据能够将朝鲜政府与此次攻击事件联系起来–同样也是遭怀疑的理由。我们很难反驳Wired的观点。你是否能想象一个国家的政府会仅仅因为一部极度荒谬的电影而公然攻击一家外国企业？ 事实上，还可能有许多理由。 The Sony hack is extremely worrying. Hackers using real-world terror threats and achieving their goal is really

本周受关注恶意软件： 病毒名：Trojan-Spy.Win32.Backoff.a.txt 文件大小: 53760字节 主要行为： 这是一个能够窃取用户敏感信息的木马程序。该木马运行后会获取计算机名、用户名、操作系统版本等信息。然后遍历进程并查找”outlook.exe”进程，找到则结束该进程。通过在搜索文件”%appdata%MicrosofttOutlook*.pst”，获取outlook保存用户邮件的数据库文件；接着搜索Mozilla浏览器的邮件工具–ThunderBird的配置文件”%appdata%Thunderbirdprofiles.ini”和ThunderBird的数据库文件”abook.mab”。它通过搜索以上文件，进而获得用户的邮件、邮件地址、邮件联系人等信息，并将获得到的用户敏感信息写入到”Emails.txt”中，然后通过HTTP请求将”Emails.txt”作为附件发送到远程地址”dns.******-host.org”，然后删除文件”Emails.txt”。最后该木马程序向”explorer.exe”进程注入一段shellcode，休眠3秒后自删除。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

卡巴斯基实验室研究人员于近期发现了著名Zeus木马病毒的一种新变体。该变体之所以被称为”幽灵”(Chthonic)，源于希腊神话中冥界的鬼神。目前已将全球15个国家的150家银行和20种支付系统锁定为攻击目标。 Zeus（宙斯）正如其名字一样，堪称网银恶意软件中的”王者”。Zeus首次出现于2007年，一经出现即对众多网银账户大肆破坏。2011年，其开发者不再继续对其开发和更新，之后便将Zeus的源代码公布于众。这似乎预示着Zeus木马病毒就此将在互联网上彻底消失，但随后的事实证明与人们之前的预想截然相反。Zeus病毒源代码的公开使得一些不良程序员能基于其高可定制化框架编写出大量该病毒变体，其中包括：GameOver、Zitmo和其他许多威胁。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者，还能够激活受感染机器上的摄像头和录音工具。 “幽灵”变体不仅收集系统信息、窃取保存密码、记录按键和授权远程计算机访问其控制者，还能够远程激活受感染机器上的摄像头和录音工具。这一系列行为背后的最终目的是：通过窃取网银登录凭证和让网络攻击者掌控受害人机器，从而执行欺诈性资金交易。 和一些早期的网银木马病毒一样，”幽灵”通过部署恶意web注入技术，旨在将合法网银界面替换为自定义图像和代码。而毫不知情的网银用户则”心甘情愿地”将他们的网银登录凭证亲手交予恶意软件幕后黑手，根本没有意识到他们的网银登录页早已被恶意的假冒页面所替代。犯罪分子之所以热衷于使用这一方法，还在于能窃取第二重认证信息，例如：用户将在受感染浏览器输入的一次性密码和短信代码。 #Zeus#木马病毒#”幽灵”#变体将全球15个国家的150家银行作为攻击目标。 “幽灵”主要将攻击目标锁定在位于英国、西班牙、美国、俄罗斯、日本和意大利的各大银行机构。在日本，该恶意软件通过一脚本重写银行安全警报系统，使得网络攻击者能够以用户账户执行交易。在俄罗斯，受感染用户甚至无法访问其银行网站，因为”幽灵”通过注入内联框架，将用户重新定向至相似度极高的钓鱼网页。 然而，在将触手伸向网银登录凭证之前，”幽灵”首先需要感染用户设备。如同其他恶意软件的原理一样，”幽灵”通过恶意网页链接和电邮附件偷偷潜入用户设备。无论采用何种方式，该攻击旨在将恶意DOC文件下载至受害人设备。这些文档内含富文本格式，以利用微软办公软件内的远程代码执行漏洞（已于4月份修复）。但该软件无法在适当更新的设备上运行。此外，卡巴斯基安全产品用户也完全受到保护，可免于这一威胁的侵害。

如果说12月份对安全世界意味着预测来年的话，同时也是对即将结束的一年进行回顾的时候。卡巴斯基实验室全球研究与分析团队为此而特别制作了一份有关《2014年互联网安全行业十大新兴趋势》的清单。 一系列高级持续威胁 2014年，众多APT攻击小组依然没有”停战”的意思。卡巴斯基实验室研究人员公布了至少6个网络攻击小组的研究分析。 “Careto”（西班牙中”面具”的意思）间谍行动于2月份重现互联网，之前已活跃了长达7年之久。Careto依靠易于修改的跨平台恶意软件工具，旨在从全球31个国家的政府机构、大使馆、能源公司、研究机构、私人股权公司以及活动家窃取敏感信息。 而多阶段的Epic Turla网络间谍攻击行动出现在1个月左右后的三月份，通过利用一系列存在于Adobe Acrobat、Windows XP以及Microsoft server 2003的零日漏洞对受害人进行有针对性的攻击，同时还采用了许多水坑式攻击，将存在于Java、Adobe Flash和Internet Explorer的漏洞作为攻击目标。 而到了6月，另一个黑客小组在短短一周的时间内即窃取了50万欧元，作为”Luuuk”木马攻击行动的一部分，他们对一家大型欧洲银行的客户进行了针对性攻击。遗憾的是，卡巴斯基实验室并没有获得该攻击行动中的任何恶意软件样本，但他们猜测该黑客小组通过窃取用户名、密码以及一次性密码，从而查看受害人账户余额并自动执行交易。 在6月末，互联网出现了”MiniDuke”黑客行动的新版本-被称为”CosmicDuke”，将政府、外交机构、能源公司、军事集团以及电信运营商作为攻击目标。奇怪的是，这一黑客行动竟然还攻击了那些参与违禁药品（例如：类固醇和生长激素）交易的犯罪团伙。 #Kaspersky launches a project that chronicles all of the #ATPs the company has investigated https://t.co/9gj6AiRVoo pic.twitter.com/HHbRUDVC0o

本周受关注恶意软件： 病毒名：Trojan-Ransom.Win32.Fury.a 文件大小: 67584字节 创建文件: %appdata%UpdSysDrv32Xz32[8位随机字母].exe 创建注册表: HKEY_LOCAL_MACHINE]SOFTWAREMicrosoftWindows UpdSysDrvNamxz32=”[8位随机字母].exe” [HKEY_CURRENT_USER]SoftwareMicrosoftWindowsCurrentVersionRun UpdSysDrvX32z32=”%appdata%UpdSysDrv32Xz32[8位随机字母].exe” 主要行为： 这是一个木马程序，运用了PE映像切换的技术，将恶意代码注入到系统程序”svchost.exe”。首先，它会通过挂起的方式打开系统进程”svchost.exe”，然后通过ZwMapViewOfSection、ZwUnmapViewOfSection、ZwCreateSection等Native API将svchost.exe映射在内存中并修改了svchost.exe的入口点，使其跳转到恶意代码的入口。然后，它会利用ZwResumeThread恢复挂起的svchost.exe进程，使恶意代码被运行。恶意代码运行后，会从远程地址下载其他恶意程序；遍历所有硬盘并加密以下后缀名的文件”*.odp|*.xls|*.mdb|*.wb2|*.cdr|*.cr2|*.orf|*.srw|*.p7b|*.odm |*.accdb|*.mdf|*.dng|*.dcr|*.raf|*.x3f|*.p7c|*.odc|…”，然后弹出带有支付地址的锁屏窗口，提示用户支付相应费用来换取解密文件，从而达到敲诈勒索的目的。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

11月份，卡巴斯基实验室为您带来了众多具有深刻见解的行业文章以及突发性的安全新闻事件。从”Darkhotel高级持续威胁攻击”到如何提高你iPhone手机的电池续航能力”，我们始终为您带来安全行业的最新热点。如果您错过了我们11月份博客的任何内容，无需任何担心，今天我们将为您带来其中精华的内容！ DarkHotel：发生在亚洲豪华酒店内的网络间谍活动 11月，卡巴斯基实验室详细介绍一种被冠以”Darkhotel”（黑店）称号的间谍网络，竟然在许多亚洲酒店的网络内存在了长达7年的时间。此类攻击运行原理如下：Darkhotel威胁通过感染某几家高档酒店，对正在入住其中的大型公司高管进行攻击。受害高管在办理完酒店入住手续后，通常会连接Wi-Fi网络（只需输入姓氏和房间号即可联网）。网络攻击者则会利用这一机会迅速向受害人提供合法软件的更新，当然同时还会偷偷安装后门。最后，一旦网络攻击者成功”进入”受害人设备，即可使用一整套工具来收集数据、找出密码并盗取登录凭证。 阅读我们11月份最热门#安全新闻#博客的精华部分。 卡巴斯基实验室首席安全研究员Kurt Baumgartner对Darkhotel给出了可能最好的解释，他这样说道：”在过去的几年中，一款被称为’Darkhotel’的强大间谍软件针对众多名人成功实施一系列的网络攻击，所运用的手段和技术水平远非常规的网络犯罪行为所能匹敌。这一威胁拥有自动运行功能以及数字和解密分析攻击能力，而所具有的其他优势足以随意利用受信任的商业网络，并将特定受害人类别作为攻击目标，其背后有着极强的商业策略目的。 #Darkhotel: a spy campaign in luxury Asian hotels – https://t.co/RVxkUg1B2K via @kaspersky #security — Kaspersky Lab (@kaspersky) November 11, 2014 他的这一番介绍是否吊起了你的胃口？我们建议您读一下该篇博文的剩余内容，了解更多有关卡巴斯基实验室产品是如何查杀此类恶意程序及其用于”Darkhotel工具包”的变异体。 从信用卡遭黑客入侵所学到的五个教训 网络骗子尤其擅长绕过我们所部属的安全措施，甚至还能感染ATM机及大型零售商系统。 你是否曾收到过来自银行或信用卡发卡公司的通知，告知您一笔事实上你从未消费过的交易？这的确是一件可怕的事情，但你根本无需感到无助。以下是通过我的个人真实经历所学到的5个教训：

卡巴斯基中国地区每周病毒播报(2014年11月17日–2014年11月23日)

近期，几乎所有从事跟踪高级持续性威胁活动的安全机构都无一例外地在谈论一种全新的高成熟度网络攻击平台-“Regin”（读音：reɪ*ɡən –与美国前总统里根名字的读音相似）。尽管我们无法将矛头直接指向某个特定国家并对次大加指责，但毫无疑问”Regin”被普遍认为是一个拥有雄厚财力的民族国家的”黑客工具”。 就在上周末赛门铁克发布了首个版本的有关该网络攻击活动的研究报告后，其它公司的大量相关报告接踵而来，在最初的研究结果基础上加入了更多的新内容，这似乎表明许多个人和相关机构将开始对”Regin”进行建档研究。不止一家安全公司和一名以上的研究人员–包括卡巴斯基实验室的全球研究和分析团队–将它称为是有史以来技术最为成熟的网络攻击活动。 Highly-complex malware has secretly spied on computers for years, say researchers http://t.co/ip7hkaDBEg pic.twitter.com/TnHhxZS0C4 — The Verge (@verge) November 23, 2014 据卡巴斯基实验室研究报告显示，Regin APT攻击活动将电信运营商、政府机构、多国政治团体、金融研究机构以及从事高级数学和密码破解工作的个人作为其攻击目标。这些网络攻击者似乎对收集情报进而进行其他类型的攻击最为感兴趣。尽管大量所收集的情报包括了对电子邮件和文档的暗中监视，但该网络攻击小组似乎还将目标不断锁定在电信运营商以及GSM（全球移动通信系统）提供商，将前者成为攻击目标并无不寻常之处，但将后者作为攻击目标就有些让人感到奇怪了。 GSM全名为”全球移动通信系统”。是移动手机之间蜂窝通信的标准。如果我告诉你GSM是第二代（2G）移动通信技术（3G和4G网络的前一代产品）的话，你们一定会恍然大悟。然而据报道，GSM是大多数电信运营商所用移动网络的默认标准，供占全球移动通信市场90%份额的219个国家和地区使用。 这些网络攻击者通过访问哪些电话是由哪一部特定手机拨出的信息，从而将这些电话重新传入其它的手机、激活临近手机以及实施其它攻击活动。 “该网络攻击小组具有渗透和监控GSM网络的能力或许是这一系列网络攻击活动中最不寻常和最有趣的部分。”卡巴斯基实验室全球研究和分析团队在昨日所发布的报告中说到。”在当今世界，我们太过依赖于移动手机网络所采用的陈旧通信协议，同时针对终端用户几乎没有任何安全防范措施。尽管所有GSM网络都拥有自己的嵌入机制，允许执法机构追踪犯罪嫌疑人，这也同时也导致这一功能为不法分子获得并滥用于实施针对移动用户的其它类型攻击。” 卡巴斯基实验室表示，这些网络攻击者通过从内部GSM基站控制器窃取属于某一家大型电信运营商的登录凭证，从而能够在该特定网络访问GSM手机。我来自于Threatpost的同事Mike Mimoso注意到当这些网络攻击者沿着移动网络移动、分配资源以及移动数据传输时，就能通过基站控制器对电话进行管理。

就在一年前，有关震网蠕虫病毒的新闻一度占据各大媒体的头版头条位置，也让那些常与信息安全打交道的家伙们感到有些不寒而栗。到底是谁创造了震网蠕虫病毒，创造这一病毒的原因又是什么，到现在依然是个谜。然而，有传言称来自美国和以色列的情报机关想利用这一病毒对伊朗核计划实施破坏活动。这一消息可信度相当高，因为该恶意软件的确有能力让铀浓缩离心机无法正常工作，从而让伊朗核计划推延数年时间。 震网病毒的创造者成功地对未联网且受保护的设备实施攻击，并进行大规模的破坏活动。正如许多专家所监控到的，该病毒随即失控并开始主动地进行自我散播。而由于一开始就将特定类型的工业系统作为攻击目标，因此至少从表面上并未对家庭和企业的电脑造成危害。 首批受害者或’零日漏洞受害者’ Kim Zetter是一名美国新闻记者，她于11月11日出版了一本名为《Countdown to Zero Day》（零日倒计时）的书。从该书中，我们得以有机会向广大公众介绍一些有关震网鲜为人知的真相。我们将不会花费过多篇幅介绍该病毒的早期活动，而将更多注意力放在该病毒的迭代，正是它导致2009-2010年期间轰动一时的大规模病毒感染事件。 我们能够很容易重现这一事件的前后始末，而这正是得益于该恶意软件的一个有趣属性：即自动保存所有曾感染过的计算机历史记录，包括：主机名、域名以及IP地址。尽管这一数据不断更新，但我们依然能够追踪到其最初的记录。 赛门铁克于2011年2月发布了”W32.Stuxnet Dossier”分析报告，其中确定了五家最先遭受震网病毒感染的公司（事实上，其中两家公司在2009年和2010年遭受了两次攻击），但并未公开披露这五家公司的名字。为了确定到底是哪几家公司，我们前后花费总共2年左右的时间对大约2,000份文件进行了分析。 #Stuxnet Zero Victims The identity of the companies targeted by the first known cyber-weapon https://t.co/W8PVyGp7b3 pic.twitter.com/BWDkVqWPLq — Dmitry Bestuzhev (@dimitribest)

十月，卡巴斯基实验室非常忙碌，陆续发表了重大突发性安全新闻和其他相关阅读资讯。从被感染的ATM和Android 5.0新加密系统，到网络”雇佣兵”和加密软件保护，无一遗漏。如果您错过了我们十月份发布的任何新闻，别担心！下面我们将简单回顾十月最热门的新闻，您可迅速掌握相关信息！ 请阅读十月最热门的#安全新闻#集锦。 采用全新加密系统的Android 5.0提供更为出色的数据保护能力。 最近，执法机构对Google和Apple感到相当不满。原因是最新版本的iOS以及安卓操作系统中存储的用户内容受到严格加密，连两家公司本身都无法对本地存储信息进行解密。这意味着即便有正当的理由，这些部门也无法保证能要求用户解密本地保存的数据。然而，隐私与安全倡议者们又进一步推出了新的全盘加密方案，似乎预示着消费者们即将迎来真正的移动数据安全时代。有些人认为这一系列举措过于冒失和鲁莽；另一些人则将此举视为对现有安全环境所进行的一场彻底变革，因为目前情况下，政府在缺乏任何监督下可轻易收集用户的信息。目前，Google正大肆宣传新采用的默认加密功能，新版Android Lollipop系统（简称为”Android 5.0″或”Android L”）中已纳入此默认加密功能。在新版系统中，密码或PIN码再加上一些内置的基于硬件的凭证才能推导出解密密钥。因此，暴力攻破密码依然可行，但要解密加密的硬盘空间则不可能。 换句话说：全球最流行的操作系统－安卓系统最终会更加安全。 如何记住强大且唯一的密码 已经是2014年了，但我们还是跟1999年一样，需要努力记住一长串密码。如果未来的技术仍然还要依靠落后的认证器的话，那我们还是需要找出一种可靠的解决方案来记住密码。这正是我们在卡耐基梅隆大学计算机科学系的朋友们所做的研究内容。不幸的是，事实证明要记住一长串复杂的密码需要我们做一些人人厌恶的事情：学习研究。在本研究中，参与者在过了100多天以后，被要求只凭借一幅场景和人物按照训练时的套路回忆起故事的动作和物品。要了解让研究人员震惊的实验结果，请阅读本文的剩余内容！最终的结果是，密码越少，越容易记住。这或许也解释了为什么几乎所有人都喜欢将同一个密码用于不同账户，就算他们清楚这样做会导致安全风险也不例外。但实验也带来了一些好消息－你可以使用本文中所述的相对容易的助忆技术来增强密码强度。 合法恶意软件和网络”雇佣兵” 完全可以想像，委托给计算机处理的日常工作越多，越容易吸引那些热衷于”挖掘”他人隐私的家伙，无论是出于恶意还是出于好意；网络入侵和间谍活动于情报局而言几乎算不上犯罪行为，但是日常工作的一部分。当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化，这与信息安全市场的定位完全不同。从卡巴斯基实验室的经验看，私自开发的合法恶意软件不仅会出售给”拥有合法权”的情报局，也会落入极端功利的第三方手中。这到底有多危险呢？可以说相当的危险。类似这样的恶意软件专为手握大把钞票的客户量身打造。其技术水平之先进，绝不是从信用卡中窃取几百块钱的不良少年或小偷小摸的犯罪行为能与之相比的。合法恶意软件开发者在开发的软件中运用了大量先进技术，甚至能骗过病毒分析人员的眼睛，防止他们一探究竟。但尽管如此，事实仍证明此类技术的确有其局限性：要想偷偷入侵系统并没有什么神秘性可言，需要的只是一款普通的恶意软件。 受感染ATM机造成数百万美元损失 黑客们从ATM机中取现与你我普通用户不同：他们取现无需任何的银行卡、PIN码或银行账户。在现实中，他们所需要的只是一台存放有现金的ATM机和一种特殊软件。应一家金融机构的要求，我们的全球研究和分析团队（GReAT）同事们进行了一项取证调查，调查目标是针对东欧地区数台ATM机进行的网络犯罪攻击。他们发现黑客利用一种称为”Tyupkin”的木马病毒来感染ATM机，ATM机被感染后，只要通过键盘输入特殊代码就能源源不断地吐出钞票。简言之：ATM机内的计算机感染”Tyupkin”后，会迫使ATM机在输入特殊代码时吐出钞票。网络犯罪分子能以某种物理方式访问ATM机，以便安装恶意软件。所使用的木马病毒拥有大量高级功能，攻击者的操作十分简单。幸好，目前黑客们只能感染某些型号的ATM机，但如果银行和ATM机制造商无法提高这些设备的物理和软件保护能力的话，可入侵的ATM机种类将持续增加。 将主电子邮箱账户的安全保护置于首位 想想看：不管创建哪个网站的在线账户，一般都会要求输入主电子邮箱作为账户名称。一旦你的在线账户遭窃或忘记密码，主电子邮箱账户还能帮助恢复在线账户。从这个角度看，主电子邮箱账户相比于PayPal或网银账户而言更具敏感性，因为一旦电子邮箱账户遭窃，PayPal和网银账户也将同样处于危险之中！除此之外，控制你电子邮箱账户的网络犯罪分子还会收集一些你使用其他在线账户的重要信息，然后对这些账户一一进行入侵。因此，电子邮箱账户一旦遭入侵，往往即意味着自己的整个数字生活遭受入侵。这也是我们为何反复强调使用高强度密码、启用双重认证以及对重要账户采取所有可能的安全控制措施的原因所在。但这还不是最坏的情况，更糟糕的是账户遭窃还会影响到你的所有联系人。一旦你的账户遭到入侵后，网络攻击者会以此为工具，攻击你的朋友、家人和网友的账户。幸好，你可以通过一款强大的反病毒解决方案保护自己免遭含有恶意软件的垃圾邮件攻击。卡巴斯基安全产品中还含有反钓鱼技术，能够检测出网络钓鱼网站并向用户发出警告。简而言之：保护主电子邮箱帐户需要的方法与保护在线网银帐户一样，甚至应该进行更严密的保护，因为主电子邮箱帐户是你最宝贵的在线帐户。 本周安全小贴士：如何防范加密病毒 以最终用户为目标的加密病毒已然成为了增长速度最快的恶意软件类型之一。编写这些病毒的目的是针对普通用户进行大规模网络勒索攻击。那在现实生活中到底是如何实施的呢？比如发生类似以下状况：”尊敬的董事长、副董事长以及董事们，请允许我为你们作年度报告陈述，为此我们已精心准备了2个月时间…欧…稍等片刻，好像出了点技术问题…”这种情况看起来似乎是计算机遭到加密病毒攻击而导致报告陈述隐藏。但实际情况是加密病毒作为一种恶意程序，阻止了用户访问计算机上的一些文件，并以此向受害者索取解密赎金。我们建议用户提前对有价值的文件采取保护措施，不要等到计算机被感染后束手无策。安装卡巴斯基安全软件以及调整相关设置都有助于保护计算机免遭最新威胁的攻击。请阅读全文了解具体安装设置操作。

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Trojan-Downloader.Win32.Obuvka.and 文件大小: 103424字节 创建文件: %temp%tmp[8位随机数].bat 访问恶意网址: fixiland.su/mod_j********_products/mod_smartslider2 fixiland.su/mod_j********_products_uef/mod_maximenuck slimsize1.su/c****og/89690 主要行为： 这是一个木马程序。该程序运用了远程线程注入技术，可将恶意的DLL文件从内存注入到系统进程 “explorer.exe”中。在这个程序的内存中存在功能相同版本不同的两个DLL文件:32位和64位。恶意程序运行时首先判断是否为64位操作系统，从而选择要注入的DLL的版本。当恶意的DLL文件被注入到系统进程后，会访问恶意的网址，并从这些网址下载其他恶意的程序。在注入完成后，通过释放的批处理文件完成自删除，来增强恶意程序的隐蔽性。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

我们所生活的这个时代令人痴迷，计算机和网络正越来越多地与我们的日常生活息息相关。不久前，我们还只是将计算机和网络用在办公室和生产设施，但今天，它们早已走进了我们的客厅和厨房，几乎人手一部可连接计算机的移动设备。我们正在步入美好的互联网时代，几乎所有东西都将被接入网络。 我们越是将日常工作更多委托给计算机处理，对于那些热衷于”挖掘”他人隐私的坏家伙（网络犯罪分子）和好家伙（有正当理由使用黑客技巧的在执法机构官员）来说就更具吸引力。 如果我们将他们可能相反的动机放在一边，另一个有趣的特征也能将他们区分开来：网络入侵和间谍活动于情报局而言几近犯罪行为，但确也是他们日常工作的一部分。 合法恶意软件现象 当今网络犯罪业务领域有一个重要的趋势即网络犯罪合法化，与信息安全市场的定位完全不同。例如，出售零日漏洞（类似于缺乏适当安全解决方案的漏洞）问题日益突出。 网络犯罪合法化正成为网络犯罪业务领域的新趋势。 目前任何人（能够买得起某些标价超过6位数以上的漏洞）都能购买漏洞利用工具并适时加以使用—通常用于保护自己的资产，但是事实上，可用于任何的东西。此类漏洞的交易完全可与导弹或精密炸药这样的军火交易相提并论。 此外，一些公司会提供能网络潜入的全功能软件包，并在掌控受害者计算机后即能监视他们的一举一动。我们曾此前讨论过顶级间谍木马病毒 – 这一情况好比出售全套虚拟文件系统。 FinFisher的广告标语显示了其完美的合法入侵和远程监控手段。提供此类服务的公司众多，范围从政府下属最大的国防工业大型综合性企业到中等规模的独立公司。 后者当然不会向任何人出售恶意软件，但其客户名单却包罗万象：除了政府情报组织以外，还包括了一些大型企业。此类网络”雇佣兵”的服务产品还热销于第三世界国家政府（例如：巴基斯坦和尼日利亚）。 此外，你还会注意到网络间谍服务的实际买家并不一定就是表面购买的那个：曾发生过将监控和过滤解决方案出售给阿联酋后，最终由受禁运国叙利亚获得。 无论如何，从卡巴斯基实验室的经验看，私人开发的合法恶意软件不仅出售给”拥有合法权”的情报局（其用途合法性到底几何非本文讨论主题），也会落入极端功利的第三方手中。换句话说，尽管作为普通人的你与网络犯罪或政治领域毫不相关，但总有一天你会发现自己也受到牵连。 到底有多危险？ 可以说是相当的危险。类似恶意软件专为手握大把钞票的客户而量身打造。其技术水平之先进，并非只是不良少年或小偷小摸的犯罪分子从信用卡内偷几百块美金那么简单。 此类恶意软件开发者的深刻见解载于了维基解密中，上面有这样一句话：传统反病毒软件对其产品无法造成任何威胁。 合法恶意软件开发商在其产品内使用了大量先进技术，能够完全躲避病毒分析人员的追踪并防止其暗中监视。 我们该如何应对？ 事实证明此类技术的确有其局限性所在：要想偷偷入侵系统并没有什么神秘性可言，需要的只是一款通常的恶意软件。 因此，这意味着卡巴斯基实验室解决方案中所使用的启发式算法（基于搜索与恶意软件有关可疑属性的检测方法）完全能过滤网络”雇佣兵”的攻击。 卡巴斯基启发式算法能成功捕获极具创造性的网络”雇佣兵”。 例如，通过我们对FinFisher产品的研究（合法网络武器市场中最优秀的一家公司）证明与FinFisher的说法完全相反，我们的卡巴斯基反病毒6.0（MP4）内所采用的启发式算法分析器能成功处理此类威胁。 考虑到一些界限模糊的’反网络犯罪分子’工具最终会落入”不法分子”手中，这意味着每个用户都应安装一款运用相关技术可应对高精密性威胁的反病毒软件。

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Backdoor. MSIL.Agent.nmx 文件大小: 60416字节 主要行为： 这是一个用”Microsoft Visual C#”语言编写的后门木马程序。该木马会窃取用户的隐私信息，并且会被远程控制及接收远程计算机的指令，执行相应的恶意代码。它能够对用户的桌面截图，并将图片文件保存并压缩为.RAR文件；还可检测用户安装的杀毒软件，并获取杀毒软件的名称；此外，它还会检测用户是否安装摄像头，并能通过执行指令完成打开摄像头和关闭摄像头的操作。在获得用户的FTP软件FileZilla的账号和密码、获得计算机名、IP地址、操作系统类型等信息后，该木马还能通过多命令行接收指令，实施从指定网址下载文件、运行指定路径的文件、打开指定的网址、挂起指定进程、结束指定进程等操作。另外，该木马还能够编译脚本，将指定的脚本文件编译成可执行文件，最终将获得的信息通过网络发送到指定的地址。 专家预防建议: 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

卡巴斯基安全软件2015自上月推出以来，获得了社会各界的一致好评。 渐入佳境：卡巴斯基安全软件2015的优势所在。 以下七大改进功能解释了KIS 2015之所以如此受好评的原因: 1.安全支付：现在大多数人都会通过在线网银办理银行业务，这意味着这些金融交易必须像在银行柜台办理时一样安全。卡巴斯基的安全支付功能大幅提升安全级别，保护包括银行卡或信用卡在内的所有在线交易和购物行为的安全。 2.身份保护：采用了最新反钓鱼技术，可保护您免受最常见的身份威胁，同时安全键盘功能还能抵御专用于窃取密码的键盘记录程序。 3.实时保护：由行业领先安全专家所研发的产品，其优势在于可通过不断更新安全协议来保护你的系统，同时抵御所有最新出现的威胁。 由行业领先安全专家所研发的产品，其优势在于可通过不断更新安全协议来保护你的系统，同时抵御所有最新出现的威胁。 4.上网管理：不管你喜欢与否，喜爱上网是孩子的天性。卡巴斯基屡获殊荣的”上网管理”功能让您能监视孩子在网上的一举一动，并阻止所有挑选出的不良网站。 5.Wi-Fi安全通知：对于那些经常出差在外的用户而言，了解所连接无线网络是否安全至关重要。KIS 2015能够对不同网络的安全性进行评级，一旦发现漏洞，即会告知用户所用网络将对设备系统造成威胁。 6.CPU占用最少：安全程序在保护系统安全时不仅不会占用太多CPU，也不会因使用计算机太多资源而导致程序和系统功能速度减慢。KIS 2015只在后台运行，使用最少的资源提供最大的保护，为计算机保驾护航的同时确保完备的功能。 7.网络摄像头保护:网络摄像头是一种很好的与家人、朋友和同事沟通和联系的方式，但也同样成为了网络攻击者的攻击目标。他们通过不光彩的手段获取远程访问这些设备的权限，从而对用户的生活和工作造成不小的困扰。KIS 2015在有应用尝试访问网络摄像头都会向用户发出警告，并且只有在用户明确授权的情况下，才能访问类似Skype或Hangouts这样的程序，否则所有访问尝试都会被阻挡在外。 7大原因显示卡巴斯基安全软件2015比以往所有版本更加出色#网络安全#数字隐私

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Backdoor.Win32.Bifrose.gbo 文件大小: 151430字节 创建文件: C:SetupCacheMgr.exe C:Setupcsetup.tmp 创建注册表: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun StubPath=”C:setupcachemgr.exe -as” HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components2CBE016A-8F28-4E0C-83A6-6079161294D7 StubPath=”C:setupcachemgr.exe -ax” 主要行为： 这是一个伪装成文件夹图标的后门程序。木马运行时首先将自己拷贝至C:SetupCacheMgr.exe，创建名为”2CBE016A-8F28-4E0C-83A6-6079161294D7″的互斥体，防止木马实例被重复运行。随后，它会将自身添加到开机自启动项，确保每次开机时运行木马程序，并创建新进程 “C:SetupCacheMgr.exe -ax”，创建文件 C:Setupcsetup.tmp，用来记录用户电脑被木马攻击的日期。利用受感染的主机对一些特定的IP地址进行DDos (分布式拒绝服务)攻击，使得被攻击目标无法对合法用户正常响应，然后从网址 “secure-*******updates.net/updates/system/update.php” 下载安全性未知的文件(URL已失效)。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。

本周卡巴斯基中国地区病毒排名: 本周受关注恶意软件： 病毒名：Trojan.Win32.Straftoz.c 文件大小: 189440字节 主要行为： 这是一个木马程序。该木马运行后会通过以下方法来反沙盒和反虚拟机:1、判断沙盒模块SbieDll.dll是否被加载；2、判断虚拟机的服务是否开启”\.HGFS” “.vmci” “.VBoxGuest”；3、创建名为”Frz_State”的互斥体，判断是否已经运行。如果满足任一条件，则直接退出木马程序。反之则执行恶意代码：通过窗体名获得”explorer.exe”进程句柄，通过远程线程将恶意代码注入到系统进程中，然后退出当前程序。注入到”explorer.exe”的恶意代码会查找%appdata%下的所有文件，并打开网址hdseriales*******andtvonline.com，最后删除木马程序，增强木马的隐蔽性。 专家预防建议: 建立良好的安全习惯，不打开可疑邮件和可疑网站。 不要随意接收聊天工具上传送的文件以及打开发过来的网站链接。 使用移动介质时最好使用鼠标右键打开使用，必要时先要进行扫描。 现在有很多利用系统漏洞传播的病毒，所以给系统打全补丁也很关键。 为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播，最好是数字与字母组合的密码。 不要从不可靠的渠道下载软件，因为这些软件很可能是带有病毒的。

“恶意广告”作为一种通常被用于传播恶意软件的恶意在线广告。然而随着时代的变迁，这一定义似乎有些过时。尽管很容易能将那些重定向至恶意软件的在线广告称为”恶意广告”，但要区分欺诈性在线广告与合法在线广告却有些难度。 例如，有许多合法的在线广告却很容易被误认为是恶意或欺诈性的广告。另一方面，也会有一些正当的在线广告因表面技术原因而被标记为恶意或欺诈性的广告。当然，互联网中广泛存在大量完全含有恶意程序的在线广告也是不争的事实。 让我们从最容易辨别的恶意广告开始： 最明显也是最容易定义的恶意广告类型是–一旦点击后，将用户重新定向至会感染恶意软件或安装其他垃圾软件的网站，除非用户此时正在运行有能力阻止感染的反病毒产品。如果所用操作系统和浏览器版本太旧的话，则尤其容易遭到此类攻击和其他形式的恶意软件感染。 “这些网站本身并没有感染病毒，但却是恶意广告的受害者。这意味着一家广告提供商既向这些网站的一小部分提供服务，又为旨在将恶意软件感染访客的恶意广告服务。” 垃圾软件或恶意软件内通常包含了大量的恶意功能。如果是恶意软件的话，可能含有用于窃取登录凭证或其他敏感信息的键盘记录器，以及让用户感染垃圾邮件僵尸网络，也可能含有网银木马病毒、流氓反病毒应用、类似于CryptoLocker的勒索软件或其它类型的恶意软件（我曾在这里或其它地方提到过）。最近的一个事件与广告网络AppNexus有关，该公司被控将恶意广告发布在TMZ、Java.com和其他的网站上。”这些网站本身并没有受到病毒感染，但却是恶意广告的受害者。”安全公司Fox-IT向Threatpost说道。”这意味着一家广告提供商既向这些网站的一小部分提供服务，又为旨在将恶意软件感染访客的恶意广告服务。”此类恶意广告易于辨认，并通常被认为是非法广告。 现在让我们进入所谓的”灰色地带”： 正如许多人所指出的，恶意广告并不一定含有普遍认为的恶意软件。它们可能会在未获得适当权限时安装追踪cookie，也可能在未经用户允许的情况下安装合法的软件。此外，它们还会暗中收集用户信息，或以其他一些方式进行超出所宣称范围的操作。 此类含恶意或欺诈性在线广告理所当然为用户所厌恶。在许多情况下，广告网络可能会禁止此类广告或要求其做出改变以符合适当的指导准则。一些广告网络的指导准则暗藏猫腻，允许发布几乎所有类型的广告。当然，也有一些广告网络可能在对内容和客户的政策制定上相比其他一些公司做得更好一些。许多情况下，一些违规广告网络会被安全专家所发现，并最终由媒体曝光。有时候，压力会逼迫着做出改变；但也有时候，压力不会起到任何作用。你完全可以选择性退出一些特定的广告网络，但操作起来较为复杂，并存在一定的滞后性，而且也没有人知道是否有人会注意这些违规广告网络清单。 最后就是一些似乎明显存在欺诈性的合法广告： 这种类型最难以辨认，但几乎所有人都对此类恶意广告再熟悉不过了。这些广告会推销一些虚假的药丸和技巧，或刊登兼职工作：只需呆在家里工作，每月即能赚取数万美元的报酬。一些广告宣传”你永远也不会相信[某些人]所获得的成功！”其它一些广告则引用你过去在网上所暴露的信息，或你居住地附近的新规则在某种程度上影响你。 我曾在2012年年初写过一篇谈论此类问题的不错的文章，尽管现在看起来有些过时，事件大概是这样：一家安全公司将CounterClank归类为安卓恶意软件，同时另一家公司则将其归为过于宣传性的广告网络。整个事件直到最后，谁对谁错已不重要，因为在如此众多的在线广告中，是否归类为”恶意广告”其实只是每个人的角度不同。 如何进行自我保护？ 千万不要点击看上去就让人起疑的广告，就算这些广告的图片是如何的吸引人，发出看以与自己有关的警告或提供快速致富捷径和神奇药丸。我的个人建议是：只点击你的确想要买的东西的广告。如果有人向你提供一些产品广告，冷静下来好好思考一下，因为所有广告的目的无非就是想让你花钱买他们的东西。 #恶意广告指的是那些旨在使用户感染#恶意软件或其它垃圾软件的恶意在线广告

多家安全领域专业网站对全新卡巴斯基安全软件2015极力推荐，对于新产品的防御能力、易用性以及资源占用少等特点更是赞不绝口。我们不便评价自己的产品，下面让我们一起来听听安全领域的十大专业网站是如何评价我们的新产品： 安全领域十大专业网站对全新卡巴斯基安全软件2015极力推荐 1.7 Tutorials网站表示，KIS 2015″继续向市场交付最出色的反恶意软件保护功能，其性能影响对于最新电脑和设备几乎可以忽略不计。” 2.Betanews网站这样写道：”卡巴斯基安全软件2015在一些重要的安全功能方面更胜一筹：这是一套精确且可靠的安全产品，在防范恶意软件方面尤其出色。” 3.PCWorld网站对卡巴斯基多设备版的保护功能极力推荐，并表示：”卡巴斯基安全软件—多设备版2015将成为设备迷们的最爱。保护能力和性能出色，且界面设计更为精致优美，且相比2014版在实用性方面丝毫没有减弱。” 4.亚马逊网站给予KIS 2015最高分五颗星的评价，该网站评论员Danny Penn表示：”如果我的KIS 2015使用到期了，我一定会续订的…” 5.Software Crew网站表示KIS 2015的家长控制功能是”一款优秀的组件，完全能与其它独立产品相媲美。”对于Safe Money功能，他们这样写道：”我们总共用了3种商业键盘记录器进行了测试，测试结果让我们完全确信只要安装 Safe Money功能，能够防御任何网络犯罪分子的盗窃行为。” “KIS 2015继续向市场交付最出色的反恶意软件保护功能，其性能影响对于最新的电脑和设备几乎可以忽略不计。” – 7 Tutorials网站 6.”总体来说，这款产品是目前最出色的安全套件之一，”Malware Tips网站评论员MrExplorer这样写道–而Malware Tips网站成员BoraMurdar却对这一评价”不太认同”，他这样说道：”这款产品并不是可能最出色，而是的的确确最出色，没有之一。” 7.CNet’s Download.com网站表示：”卡巴斯基安全软件2015是迄今为止最优秀的版本，并显然是专为Windows系统而设计的反病毒应用中最出色的一款。”该网站还将KIS 2015添加进了”优选产品”列表。 8.PCMag网站说道：”反病毒功能是卡巴斯基安全软件（2015）的明星组件，在所有独立[测试]实验室都获得了最高评分。” 9.”我们都喜欢这一全新的界面，当然还少不了拥有强大防御功能的套件。”