“绿色软件”通常指的是那些无需安装即可使用的小软件，这些小软件运行后通常可以直接使用，且使用后不会在注册表、系统目录等残留任何键值和文件，甚至可以直接将其放到U盘、光盘等移动介质中，随时随地使用。同时由于其免安装、解压即可使用，也会给人予安全的感觉，因此深受广大网友的喜爱。然而这些“绿色软件”真的都安全吗？

几个月前看到有文章介绍俄罗斯的 Hammertoss 恶意软件，使用 Twitter 作为 C&C 服务。以类似方式滥用 TechNet 的也有过报道【1】。脑洞了一下觉得，使用图片（或者其他格式）作为隐写（steganography）的载体来携带 C&C 控制命令更为隐蔽一些，而且携带的信息容量相对 twitter 的 140 字限制大得多。

这份报告介绍了一次大规模的木马、钓鱼和虚假信息活动，这一攻击活动的目标是几个拉美国家，包括厄瓜多尔、阿根廷、委内瑞拉和巴西。根据受害者的特征和地理分布来看，这次攻击活动的赞助者对这些地区的政治情况很感兴趣。 Packrat很关注这些地区的政治反对派，ALBA国家联盟（美洲玻利瓦联盟||||）**，以及这些国家境内的独立媒体。ALBA国家联盟通过一项贸易协定建立，这些国家在很多非经济领域都有合作。

近期, 部署于360云平台(https://cloud.360.cn)的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量，联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 --“王阳东”对此恶意程序进行较为深入的分析，此样本可能是billgates僵尸网络的一个变种。

刚重装的系统就中毒了，这是很多网友常常遇到的事，难道是中了引导区木马？甚至bios中毒？其实没那么复杂，很可能是你安装的系统自带了木马。

在2014年初，Anthem遭到黑客袭击，泄露了8000万份医疗记录。媒体在2015年2月曝光了这次入侵事件，而发动攻击的网络间谍小组很可能就是Black Vine。

前几日，看了一份报告，是美国网络安全公司bit9发布的：《2015: The Most Prolific Year for OS X Malware》

报告主要的内容就是说说2015年OS X平台恶意软件的情况。bit9的研究团队进行了10周的分析研究，分析了1400个恶意软件样本。给出了下面这张图，可见，2015年恶意软件样本数量是前5年恶意样本数量之和的5倍。这估计要亮瞎苹果公司的眼。Mac越来越火。也越来越不安全了。

近年许多的android市场实现免root安装应用，也就是下载完成立即自动安装，而黑产界也同样利用该技术在进行恶意推广，静默安装。最近拦截到大量恶意应用利用系统AccessibilityService静默安装应用。一旦恶意的Accessibility服务被激活，恶意应用将弹出广告，即使用户关闭弹出的广告该应用程序也会在后台下载，随后自动安装推广的恶意应用。

人在做，天在看。

11月底的时候，360天眼安全实验室发布了一篇文章：网络小黑揭秘系列之私服牧马人，揭露了一起污染私服搭建工具和用户登录端程序进行木马传播的事件。其实，类似的案例远不限于此，这次我们揭露另一根链条出来，当然还是从一个样本开始。

Unit42近期公布了一份关于最新木马Bookworm的研究文章，文章中讨论了这个木马的架构和功能。泰国是这次攻击活动的主要攻击目标。

本月初微博上有知名大V晒出一封私信截图，私信是以某记者名义发出，要求采访该大V博主，并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后，该文件被360安全卫士检测为木马进行清除。

我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析，发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙，该团伙利用盗取或冒名的各类账号，对账号关联人发起攻击，木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等，很明显是意图窃取数据进行勒索或售卖来谋取利益。

近期，阿里移动安全团队发现大批量色情类病毒重新开始在某些论坛或者应用市场上泛滥。和以往的色情类病毒不同的是，它们使用了更多高级的技术手段来对抗安全软件的查杀。这类病毒具有以下特点：

在11月初，360互联网安全中心监控到一款名为“restartokwecha“的下载者木马拦截量暴增,而对其溯源发现，木马竟然来自PConline（太平洋电脑网），1ting（一听音乐网），stockstar（证劵之星）等一批知名网站。对这些网站进行分析发现，网站广告位展示的广告中包含了Hacking Team泄露的Flash漏洞中的一个漏洞利用挂马（CVE-2015-5122）。而该下载者木马，除了在用户计算机上安装多个恶意程序外，还会推广安装多款知名软件。由于国内大量电脑仍然没有及时升级Flash插件，造成木马可以大规模传播。

网络间谍小组“Rocket Kitten”，由伊朗人组成，他们的首次活动可以追溯到2014年，主要是通过钓鱼活动来传播木马，从而感染目标受害者。据报道，这个小组现在仍在活动中，最新的攻击活动出现在了2015年10月。

一些安全机构和安全专家已经分析了Rocket Kitten小组和他们的攻击活动，有大量相关的报告也介绍这个小组的行动方法、以及他们使用过的工具和技术。

随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高，病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层。而且病毒作者也开始把PC端的病毒自我保护手段运用到移动端上，在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术。但是之前一直还未出现过通过感染技术实现自我保护的病毒，此次，360安全团队首次发现了在Android系统中通过感染方式隐藏自身恶意代码的木马病毒——长老木马之四。