【安全资讯-银狐新变种于幕后潜行,暗启后门远控窃密】此文章归类为:安全资讯。 近期,火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马,火绒安全工程师第一时间提取样本进行分析。分析发现样本具有检测并利用多种系统特性实现持久化与绕过沙箱的行为,通过释放白加黑文件,利用 svchost 内存加载后门模块实现远程控制。目前,火绒安全产
原创 周杰伦 10天前 阅读: 8 阅读时长: 9分钟
【软件逆向-样本分析|非官方火绒剑存在后门风险,谨慎下载使用】此文章归类为:软件逆向。 近期,火绒安全实验室在某论坛中发现一名用户发帖上传了被篡改过的火绒剑程序,该事件详细经过可参考《情况说明 | 非官方火绒剑存在后门风险,请用户谨慎下载使用-公司资讯-火绒安全》,在此不做赘述,本文为该样本的内容分析。经火绒工程师确认,该“盗版火绒剑”中
原创 周杰伦 18天前 阅读: 30 阅读时长: 9分钟
【茶余饭后-样本分析|非官方火绒剑存在后门风险,谨慎下载使用】此文章归类为:茶余饭后。 近期,火绒安全实验室在某论坛中发现一名用户发帖上传了被篡改过的火绒剑程序,该事件详细经过可参考《情况说明 | 非官方火绒剑存在后门风险,请用户谨慎下载使用-公司资讯-火绒安全》,在此不做赘述,本文为该样本的内容分析。经火绒工程师确认,该“盗版火绒剑”中
原创 周杰伦 20天前 阅读: 47 阅读时长: 9分钟
【软件逆向-【病毒分析】 Babyk加密器分析-EXSI篇】此文章归类为:软件逆向。 1.前情提要 继上篇分析了关于Babyk加密器在NAS系统的行为特征,本篇是针对EXSI环境的相关分析。 2.总体行为 3.密钥下发(Builder.exe) 这里可以通过VS生成了Builder.exe来实现对其Builder过程进行分析
原创 周杰伦 23天前 阅读: 36 阅读时长: 6分钟
【软件逆向- 从无解到破解:Mallox家族linux版本的分析以及解密器的制作】此文章归类为:软件逆向。 1.背景 Mallox勒索软件首次出现于2021年5月,并在2021年10月扩展到中国市场。截至2024年,它仍然活跃。Mallox通过加密受害者文件并要求支付赎金来恢复数据,使用唯一的加密密钥加密文件,受害者的文件通常会添加“.
原创 周杰伦 28天前 阅读: 58 阅读时长: 9分钟
【安全资讯-Go语言下的“伪装者”如何实现悄无声息地隐私盗窃】此文章归类为:安全资讯。 近期,火绒工程师在日常关注安全动态时发现,Lumma Stealer 木马家族会利用 Go 语言编写注入器,通过 AES 解密创建傀儡进程并注入恶意代码窃取用户信息,其中恶意代码经过控制流混淆、常量加密以及手动调用系统调用号等方式使代码复杂度提高,更难
原创 周杰伦 1个月前 阅读: 56 阅读时长: 9分钟
【安全资讯-反沙箱与杀软对抗双重利用,银狐新变种快速迭代】此文章归类为:安全资讯。 近期,火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马,火绒安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为,还会下载 TrueSightKiller 驱动关闭杀软,同时下载创建计划任务的 Shellcode 实现持久化,最终下
原创 周杰伦 1个月前 阅读: 96 阅读时长: 9分钟
【安全资讯-“李鬼”软件暗设后门,对抗杀软侵蚀系统】此文章归类为:安全资讯。 近期,火绒威胁情报中心监测到伪装成有道翻译安装包的样本存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现该样本使用白加黑、反射加载 DLL 进行免杀,最终下载后门代码实现对受害者主机的控制。同时,它还会绕过 UAC 实现无弹窗执行,并存在创建服务设置自启动进行持
原创 周杰伦 3个月前 阅读: 111 阅读时长: 9分钟
【软件逆向-【病毒分析】Babyk加密器分析-NAS篇】此文章归类为:软件逆向。 1.前情提要继上篇分析了关于Babyk加密器在Windows环境的行为特征,本篇是针对NAS系统的相关分析。2.总体行为:3.密钥下发(Builder.exe)这里可以通过VS生成了Builder.exe来实现对其Builder过程进行分析,可以看到主要是对这部分文件的处
原创 周杰伦 4个月前 阅读: 138 阅读时长: 7分钟
【企业安全-蠕虫病毒伪装传播,根目录文件遭神秘删除】此文章归类为:企业安全。 近期,火绒威胁情报中心监测到一款通过改名为USB Disk来欺骗用户执行的蠕虫病毒正在传播,火绒安全工程师第一时间提取样本进行分析。分析过程中发现该程序在后台自动感染每个插入的可移动磁盘,并将原文件移动到一个隐藏文件夹中。随后,程序创建一个名为“USB Disk.exe”的文
原创 周杰伦 4个月前 阅读: 142 阅读时长: 9分钟
