截屏视频帮助
Symantec to Separate Into Two Focused, Industry-Leading Technology Companies. Learn more.
Security Response
显示用 简体中文 发布的帖子
Symantec Security Response | 06 11 月 2014 21:01:30 GMT | 0 条评论

OSXWirelurker 3 edit.png

赛门铁克安全响应中心当前正在调查 OSX.Wirelurker,该威胁的主要攻击目标为运行 Mac OS X 的 Apple 计算机以及运行 iOS 的 Apple 设备。Wirelurker 可用于从受感染的 iOS 设备窃取信息。

OSXWirelurker 1 edit.png
图:麦芽地 App Store

目前已在中国一家第三方应用商店“麦芽地 App Store”上发现了 Wirelurker 的身影。该威胁通过木马程序攻入盗版 Mac OS X 应用程序。一旦在运行 OS X 的计算机上下载了盗版应用程序,Wirelurker 就会扩散到通过 USB 线缆连接到该计算机的任何 iOS 设备上。然后,Wirelurker 就可以安装恶意应用程序,即使是未越狱 iOS 设备也难逃入侵厄运。

赛门铁克保护

赛门铁克检测到 Wirelurker 的形式为:

Dick O'Brien | 11 9 月 2014 17:07:13 GMT

image1_26.png

随着 Apple 宣布新 iPhone 6 采用无接触式支付服务,这意味着 Apple 正挺进支付服务市场。该公司于昨日宣布同时推出两个新的 iPhone 型号及 Apple Watch,并公布了 Apple Pay 的细节,该应用程序允许用户使用近距无线通信 (NFC) 无线技术进行支付。

Apple 并未创建自己的支付基础架构,而是与 Visa、MasterCard、American Express 及多家主要发卡银行签订了交易协议,这些银行将在现有支付卡网络上看到那些通过新 iPhone 完成的付款。

一键支付
新 iPhone 6 的用户可以将手机靠近无接触式阅读器来完成商品及服务费用的支付,而不用解锁手机或启动某些应用程序。用户只需将手指放在 Apple 的 Touch ID 指纹传感器上,阅读器即可验证本次支付和用户身份信息。

Apple 宣称,处理交易时不会使用实际的信用卡和借记卡卡号。取而代之的方法是,当用户在 Apple Pay 中添加卡时,会在手机里添加一个独特的“设备帐号”,该帐号安全地存储在专用芯片中。并且这些帐号绝不会传输到 Apple 服务器。用户在付款时,会使用设备帐号和本次交易特定的一次性“动态安全码”来处理支付过程。

虽然无接触式支付和 NFC 集成技术在智能手机上并非首创,但出现在 iPhone 上标志着该项技术可能将逐渐成为主流。这自然会吸引攻击者的注意力。近期美国发生的大型信用卡泄露事件即以支付卡终端为主要目标。在某些情况中,安装在销售点 (PoS) 终端上的恶意软件,产生了海量的客户支付卡详细信息传输。

支付安全性得以提高?


据 Gartner 分析,Apple Pay 的应用可能会受到担心 PoS 泄露的商家的欢迎。使用 Apple Pay...

Livian Ge | 17 5 月 2011 07:16:53 GMT

    奥萨马・本・拉登被击毙绝对是近期最受关注的新闻之一。在这一事件披露后仅仅三个小时,就有人发出了利用这条新闻大做文章的第一封垃圾邮件。之后,我们观测到多种语言的垃圾邮件活动都出现了上升趋势。

    与利用重大事件的其他垃圾邮件类似,在邮件的主题和正文中,垃圾邮件传播者都会多处引用本・拉登的名字,并提供他的照片和视频。当然,垃圾邮件传播者之所以如此卖力地给用户发送此类邮件,绝不只是为了向用户提供新闻那么简单,他们的真正目的是诱使用户下载和安装一些恶意的可执行文件。

    因此,我们建议用户遵守基本的安全做法,对于来路不明的电子邮件,不要打开其中的任何可疑链接或附件。同时,赛门铁克还提供多层防护抵御这类攻击,这些防护包括反垃圾邮件服务、防病毒服务和信誉服务等。

Livian Ge | 17 5 月 2011 07:14:57 GMT

    最近,我们发现了一个恶意的Apache Web 服务器模块,可以通过Apache 的过滤功能感染HTML 页面,为此我们对它的源代码进行了分析。与单纯感染Web 服务器上的静态网页相比,这种攻击更加主动、复杂、不同寻常。之所以说这种攻击不同寻常,是因为Web 服务器本身就是感染目标。如果某台Web 服务器受到此类感染,从该服务器请求任何网页的所有用户都可能成为受害者。这与静态网页感染恶意代码截然相反,对于后者,用户只有在访问受感染的特定页面时才可能感染病毒。

    此外,由于该恶意模块采用了多种逃避技术,使得这种复杂威胁很难被准确检测到。因此,系统管理员往往在感染发生一段时间后才会发现被感染了病毒。

    目前,赛门铁克将受感染的Apache 模块检测为Trojan.Apmod,将受感染的HTML 页面检测为Trojan.Malscript!html。

Livian Ge | 17 5 月 2011 07:13:05 GMT

    如今的病毒制造者已经越来越利益驱动化。他们制造病毒不再单纯只是为了显示自己的技术水平,而是为了赚钱。其中一个比较流行的途径就是编写与真实安全软件非常相似、但是几乎没有杀毒保护功能的“假冒杀毒软件”。我们最近检测到的木马 Trojan.Fakefrag 就是利用了这个手段。

    Trojan.Fakefrag运行后,会修改注册表,令自身可随Windows自动启动;它还会设置注册表,令系统桌面背景消失,令用户感到系统出现异常。同时,该木马会降低操作系统的安全属性,禁止用户使用任务管理器;并且弹出提示框,报告用户硬件错误信息,令用户怀疑自己的系统中毒或出错。这时,该木马会释放一个UltraDefraggerFraud家族的假冒杀毒软件病毒到被感染的计算机中运行,提示虚假的系统问题,最终诱导用户购买该假冒杀毒软件。

    此外,Trojan.Fakefrag还会和指定的网站通信,下载加密的配置文件。这些网站包括sear[removed]proval.org, fi[removed]ertisem.org等。

Livian Ge | 17 5 月 2011 07:09:24 GMT

    W32.Virauto是一个极善保护自己的蠕虫。运行后,它会将自身拷贝到系统目录下,并重命名为“explorer.exe”(浏览器)。同时,该蠕虫会添加注册表实现开机自动运行。

    为防止计算机安装或更新安全软件,W32.Virauto会修改hosts文件以试图阻止用户访问与计算机安全相关的网站。W32.Virauto会窃取用户的MSN信息,包括聊天记录,用户名及密码等。同时,该蠕虫会在受感染计算机上开启后门,将窃取的信息传送出去。

    W32.Virauto可通过网络和移动存储设备进行传播。此外,W32.Virauto还会自动把自身打包进用户计算机中的zip文件,并将后缀修改为.gif [多个空格] .scr以欺骗用户。

Livian Ge | 17 5 月 2011 07:08:02 GMT

    专门攻击即时聊天工具的病毒我们已经见过不少,最近我们又监测到它们的“新成员”—Infostealer.QQLogger。

    运行后,Infostealer.QQLogger会将自身拷贝至系统程序文件夹,并重命名为与系统文件类似的名字,如“MSSETUP.DAT”;同时创建名为msSystem的系统服务,令自身能够以系统服务的方式运行。

    同其它IM病毒一样,Infostealer.QQLogger会试图盗取聊天工具的用户名和密码。不过,该木马还会在被感染计算机中打开后门,供攻击者完成以下功能:1)如存在麦克风和摄像头,则对系统进行录音和录像;2)扫描并外发计算机文件;3)扫描并外发IM的历史聊天记录;4)对系统截屏。

    Infostealer.QQLogger一般通过偷渡式下载进行传播。

Livian Ge | 17 5 月 2011 07:06:43 GMT

    Trojan.Boaxxe是赛门铁克安全响应中心最新监测到的一种木马病毒。该木马由Trojan.Boaxxe!dr释放到用户计算机中。

    运行时, 它会创建文件%Windir%\Tasks\At1.job;同时将自身植入到Windows任务计划程序中,并创建注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\"AtTaskMaxHours" = "72",使其任务在72小时后结束。该木马还会修改注册表以关闭Windows系统还原功能并实现开机自启动。

    此后,木马会在被感染的计算机中打开后门供攻击者远程操控该计算机;并且连接特定网站下载可执行程序。

Livian Ge | 17 5 月 2011 07:05:31 GMT

    过去我们为大家介绍过黑客使用缩短的URL 展开恶意攻击的情形。现在,借着社交网站的东风,此类威胁愈发严重,因此我们有必要再次为大家敲响警钟。

    URL 缩短服务的初衷是将人们提交的长URL 进行特殊编码,使其变短,以便于在狭小的空间里显示。对于那些对字符数量有特定限制的文本字段(如微博)而言,这种服务有助于节省空间,是一项不错的服务。但由于这种服务会隐藏实际的目标URL,使攻击者有了可乘之机。事实上,经过黑客编排的URL 会引导用户在不知情的情况下访问恶意网站,这些恶意网站会利用浏览器漏洞或主机攻击工具包攻击用户的系统。

    有鉴于此,为了安全地使用社交网站,建议用户使用最新版本的Internet 浏览器,并安装所有必要的修补程序。在准备点击特定帖子中的URL 前,请务必先看一下其中的评论,以防落入黑客的圈套。

Livian Ge | 17 5 月 2011 07:04:03 GMT

    本周早些时候,媒体曝光了Comodo 公司颁发了九张带有欺诈性的数字证书这一事件。这几张证书是由一家非法注册机构(RA) 颁发的,从而造成对申请者身份的不当验证。通过查看此次事件涉及的证书列表,我们发现许多合法的流行服务都成为攻击目标,包括但不限于Google、Google Mail、Yahoo!、Microsoft Hotmail/Live Mail 及Mozilla 插件。此次事件的幕后人可能试图获取邮件和其他通信帐户的凭据和后续访问权。

    Mozilla、Google 和Microsoft 已经发布了更新,安装相应更新后可本地识别并阻止这些带有欺诈性的证书。在此之际,强烈建议所有用户将浏览器更新至最新版本,并确保在Windows 计算机上安装修补程序。该问题会影响所有操作系统和所有浏览器。