360天眼实验室追日团队持续发现与跟踪APT活动，相关的样本、IP、域名等数据只要一出现就会立即进入我们的视线。5月10日VirusTotal上有人提交了一个样本，安博士标记为DarkHotel相关。

在2015年我们监控到一个针对朝鲜语系国家的组织，涉及政府、交通、能源等行业攻击的APT组织。通过我们深入分析暂未发现该组织与Lazarus组织之间有联系。进一步我们将该组织2013年开始持续到2015年发动的攻击，命名为“洋葱狗”行动（Operation OnionDog），命名主要是依据2015年出现的木马主要依托onion city【6】作为C&C服务，以及恶意代码文件名有dog.jpg字样。相关恶意代码最早出现在2011年5月左右。至今至少发起过三次集中攻击。分别是2013年、2014年7月-8月和2015年7月-9月，在之后我们捕获到了96个恶意代码，C&C域名、IP数量为14个。

攻击者通过 Google Docs 传播 Trojan.Laziok 木马，过程中使用 PowerShell，从 Google Docs 下载木马、绕过反病毒软件

在2009年，我们利用免疫系统的概念来保护工作站或者服务器免受快速传播的蠕虫病毒Conficker的入侵。让我们来看一下是否能把这一防御概念用在勒索软件Locky上。

下面我们将对系统进行一些小的修改，来打造一个免疫系统，在不需要用户交互的情况下，部分或者完全地阻止恶意程序在执行的时候对系统造成的危害。很明显，我们必须要让“疾病”到来之前使免疫系统取得控制权.......

由于杀软对商业壳比较敏感，并且商业壳检测,脱壳技术比较成熟，病毒作者一般不会去选择用商业的壳来保护自己的恶意代码,所以混淆壳成为了一个不错的选择.混淆壳可以有效对抗杀软，因为这种壳一般不存在通用的检测方法，并且很难去静态的脱壳，所以其恶意代码就不会被发现,从而使自己长时间的存在.对于恶意代码分析者来说，分析这种带混淆壳的样本往往会花费很大精力，甚至有时候会使分析变得不可能。本文主要几种常见的混淆手段,不涉及样本本身功能分析。

继上个星期国内知名果粉社区威锋网(上周事件一出，威锋网已修复)遭黑客挂马事件后，360安全卫士再度发现该黑客还在其他网站论坛进行挂马。从3月开始，360互联网安全中心检测到该样本的零星打点记录，此情况从4月11日呈上升趋势，多个论坛内大量帖子被插入Flash漏洞攻击程序。因威锋网是国内最大的苹果用户中文论坛，每天有百万级浏览量，360安全卫士对威锋挂马攻击的拦截量因此急剧增加。后续我们还在小七论坛以及游戏藏宝湾等论坛发现该样本的踪迹。

微信作为手机上的第一大应用，有着上亿的用户。并且很多人都不只拥有一个微信帐号，有的微信账号是用于商业的，有的是用于私人的。可惜的是官方版的微信并不支持多开的功能，并且频繁更换微信账号也是一件非常麻烦的事，于是大家纷纷在寻找能够在手机上登陆多个微信账号的方法，相对于iOS，Android上早就有了很成熟的产品，比如360 OS的微信双开和LBE的双开大师就可以满足很多用户多开的需求。但是在iOS上，因为苹果的安全机制，并没有任何知名的IT厂商推出微信多开的产品，反而是各种小公司的微信双开产品满天飞。但使用这些产品真的安全吗？今天我们就来看看这些产品的真面目。

2015年末爆发了感染量过百万的“百脑虫”手机病毒，经过360移动安全团队深入的跟踪和分析，我们又发现了病毒的另一核心模块，此模块包括3个ELF系统文件configpppm、configpppi、configpppl和一个伪装成系统应用的核心apk文件以及一个configpppl.jar文件。我们发现这些模块都使用之前发现的conbb(configopb)执行命令。在新发现的模块中，病毒使用了更高超的技术，可以在用户毫无察觉的情况下修改短信内容恶意扣费，从而非法获益。

路由器木马，其主要目标是控制网络的核心路由设备；一旦攻击成功，其危害性远大于一台主机被控。

如果仅仅在路由器上面防范该类木马，那也是不够的，有很多Linux服务器违规开放Telnet端口，且使用了弱口令，一样可以中招。下面我们就一起来回顾一起真实案例。

“白名单“，即一系列被信任的对象的集合，与”黑名单“对应，通常被用来实现”排除“类的逻辑。在安全领域中，”白名单“通常被用来优化对信任对象的分析逻辑或解决查杀、拦截逻辑所产生的误报等。

App劫持是指执行流程被重定向，又可分为Activity劫持、安装劫持、流量劫持、函数执行劫持等。本文将对近期利用Acticity劫持和安装劫持的病毒进行分析。

随着安全软件与病毒之间攻防对抗的不断白热化，病毒的更新换代也日益频繁，其所使用的手段也日趋多样化。以最近大范围流行的“小马激活”病毒为例，其传播至今，据火绒发现的样本中已经演变出了五个变种。“小马激活”病毒，我们之前称其为“苏拉克”病毒，因为其核心驱动名为“surak.sys”故得此名，但是随着其不断地改变与安全软件的对抗方式，“苏拉克”这个名字已经不被病毒作者使用，所以我们将其统称为“小马激活”病毒。

近期，越来越多的人被一种恶意软件程序勒索，电脑上的多种重要文件都被加密而无法打开，并且无计可施，只能乖乖支付赎金，以对文件解密。

安天安全研究与应急处理中心（Antiy CERT）近期发现勒索软件TeslaCrypt的最新变种TeslaCrypt 4.0，它具有多种特性，例如：加密文件后不修改原文件名、对抗安全工具、具有PDB路径、利用CMD自启动、使用非常规的函数调用、同一域名可以下载多个勒索软件等。

ESET的研究人员正在积极地检测以嵌入式系统为攻击目标的木马，受影响的有路由器，网关和无线访问点。近期，我们已经发现了一个相关的bot，这个bot整合了Tsunami（也叫作Kaiten）和Gafgyt的功能，并相较于前者做出了一些改进，提供了新的功能。这个新威胁就是Linux/Remaiten。截至目前，我们已经发现了三个版本的Linux/Remaiten，版本号分别是2.0，2.1和2.2。根据其代码来看，木马作者称之为“KTN-Remastered”或“KTN-RM”。