-
2024-12-25
技术揭秘|代码追踪工具分享及应用指南来啦自从绒绒与大家分享病毒分析报告以来,评论区的相关讨论不仅让绒绒成就感满满,也下定决心(暗暗攥拳)要和大家分享更多有意义的文章。总览评论后,绒绒发现大家不仅对病毒本身充满探究精神,也对工程师是通过什么方式对病毒进行分析以及在分析过程中使用什么工具感到好奇。那么今天就不讲病毒!让我们讲一讲如何“研究”病毒——特别是追踪技术在病毒分析中的应用。
-
2024-12-12
Go语言低门槛背后的风险,初级勒索攻击或致解密无门Go 语言凭借其高效的并发处理能力和强大的标准库支持等特点,在开发效率和性能上具有一定的优势,备受软件开发者青睐。然而,这种优势也吸引了部分初学者以及勒索组织的目光,他们利用 Go 语言编写勒索病毒并进行传播,催生了各种基于 Go 语言的勒索实验样本和勒索组织样本。 近期,火绒工程师在日常关注安全动态时发现一个基于 Go 语言的勒索样本。分析发现,该样本会利用 AES 进行数据加密,并将加密秘钥发送至 youtube.com ,导致被加密文件完全无法恢复。推测该样本属于基于 Go 语言勒索样本中的实验样本。随后对基于 Go 语言的勒索样本进行调查分析发现,实验样本在该类勒索样本中较为常见,而勒索组织样本除了勒索步骤比较完善,使用的技术手段与实验样本仍有一定相似。火绒安全产品可对上述勒索木马进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-12-11
2024-12微软漏洞通告微软官方发布了2024年12月的安全更新。本月更新公布了260个漏洞,包含31个远程执行代码漏洞、27个特权提升漏洞、7个信息泄露漏洞、5个拒绝服务漏洞、2个身份假冒漏洞、1个深度防御漏洞,其中17个漏洞级别为“Critical”(高危),54个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-12-04
钓鱼网页散播银狐木马,远控后门威胁终端安全在当今网络环境下,许多人都有通过搜索引擎下载应用程序的习惯,虽然这种方式简单又迅速,但这也可能被不法分子所利用,通过设置钓鱼网站来欺骗用户。这些钓鱼网站可能会通过各种方式吸引用户点击,从而进行病毒的传播,危害个人或企业的信息安全。 我们期望本篇文章有助于帮助您提高网络安全防范意识,通过官方正规的渠道下载软件。
-
2024-11-13
2024-11微软漏洞通告微软官方发布了2024年11月的安全更新。本月更新公布了425个漏洞,包含52个远程执行代码漏洞、28个特权提升漏洞、4个拒绝服务漏洞、3个身份假冒漏洞、2个安全功能绕过漏洞、1个信息泄露漏洞、1个深度防御漏洞,其中4个漏洞级别为“Critical”(高危),85个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-11-11
银狐新变种于幕后潜行,暗启后门远控窃密近期,火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马,火绒安全工程师第一时间提取样本进行分析。分析发现样本具有检测并利用多种系统特性实现持久化与绕过沙箱的行为,通过释放白加黑文件,利用 svchost 内存加载后门模块实现远程控制。目前,火绒安全产品能够有效拦截和查杀上述病毒,火绒6.0的内存防护功能具备精准处理此类内存加载病毒的能力,能够及时识别和阻止恶意代码在内存中的执行,从而保护用户系统的安全,欢迎广大用户下载安装火绒安全6.0产品并及时更新病毒库以提高防御能力。
-
2024-11-01
样本分析 | 非官方火绒剑存在后门风险,谨慎下载使用近期,火绒安全实验室在某论坛中发现一名用户发帖上传了被篡改过的火绒剑程序,该事件详细经过可参考《情况说明 | 非官方火绒剑存在后门风险,请用户谨慎下载使用-公司资讯-火绒安全》,在此不做赘述,本文为该样本的内容分析。经火绒工程师确认,该“盗版火绒剑”中的 uactmon.dll 文件被篡改,在其 DLL 加载时会解密出恶意 DLL 数据并加载执行,最后实现后门操作。目前,火绒安全产品可对上述被篡改的病毒样本进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。同时我们也希望广大用户在官方渠道下载软件,避免企业或个人信息及财产存在被泄露的风险。
-
2024-10-22
Go语言下的“伪装者”如何实现悄无声息地隐私盗窃近期,火绒工程师在日常关注安全动态时发现,Lumma Stealer 木马家族会利用 Go 语言编写注入器,通过 AES 解密创建傀儡进程并注入恶意代码窃取用户信息,其中恶意代码经过控制流混淆、常量加密以及手动调用系统调用号等方式使代码复杂度提高,更难以破解。分析发现该样本会利用 Steam 账户名称、动态获取远程服务器域名,根据下载的 JSON 配置窃取相应应用程序数据,例如浏览器数据等,此外还会窃取邮箱、Steam、Discord、TXT 文件等数据。目前,火绒安全产品可对上述窃密木马进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-10-09
2024-10微软漏洞通告微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-09-29
反沙箱与杀软对抗双重利用,银狐新变种快速迭代近期,火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马,火绒安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为,还会下载 TrueSightKiller 驱动关闭杀软,同时下载创建计划任务的 Shellcode 实现持久化,最终下载后门模块实现远程控制。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-09-11
2024-09微软漏洞通告微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-09-11
探究窃密木马FormBook免杀手段——多变的加载器近期,火绒工程师在日常关注安全动态时发现FormBook木马家族存在利用多种加载器混淆处理进行免杀的行为,因此火绒工程师对其木马家族多种样本进行横向分析,分析发现该木马家族多个样本的主要功能几乎没有变化,只有加载器不断变化,且加载器核心机制仍然由读取、解密和注入三个步骤组成。其中注入的FormBook代码通过自修改代码(SMC)和多次注入以及通过天堂之门实现免杀。火绒安全产品可对上述窃密木马进行拦截查杀。