近日腾讯反病毒实验室拦截到一个非常特殊木马，该木马集成了多种木马的特点和技术，通过多种流氓软件推广传播。其特殊之处在于：如果是普通用户感染了该木马，其行为是主页被锁；如果是黑名单中的用户感染了该木马，则启动“毁灭”模式，直接篡改磁盘MBR，导致电脑无法开机。此外木马还集成了盗号、DDOS攻击等大量功能，虽然当前并未被激活，但中招之后后患无穷，其行为总结如下：

本文详细地介绍了Dridex木马在受感系统上运行并上线后，所使用的通讯信道，P2P网络，加密方法以及相关的C2基础设施。我们主要研究了木马的CC通讯方法，并且确定了木马用于支持监控功能的协议上都存在哪些漏洞。

本文中没有记录木马的传播机制，也没有详细介绍受感染系统上的木马行为，而只是谈到了木马的网络通讯以及支持这些通讯的各种操作（比如，加密操作）。与Dridex相关的botnet感染扩散情况并不在本文的范围内。

iOS被XcodeGhost血洗一把之后，Android又被WormHole暴揍一顿。正当大家打算歇一歇的时候，FireEye的Zhaofeng等人又发表了一篇报告叫《iBackDoor: High-Risk Code Hits iOS Apps》。报告中指出FireEye的研究员发现了疑似”后门”行为的广告库mobiSage在上千个app中，并且这些app都是在苹果官方App Store上架的应用。通过服务端的控制，这些广告库可以做到：

有米广告平台为业界领先的移动信息服务提供商优蜜科技™所有，总部和研发中心设在广州，在北京设立分支机构。有米广告拥有核心技术及完整知识产权，并获多项国家专利，在用户特征识别、精准投放、客户端防作弊、广告智能投放等关键领域遥遥领先。有米广告瞄准7亿手机用户，致力于为数以万计的企业广告主提供精准的产品营销和品牌推广服务，为应用开发者创造公正和优质的广告收益。

（本文纯属虚构，如有雷同，实属巧合）
重阳祭祖，在闲暇之余，且听我讲述一个小小的故事。
0x01 飘渺的云虚机

近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行，用户计算机的管理员账号将被添加或更改密码，造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费，从而达到勒索用户资金的目的。

前言：zip压缩格式应用广泛，各个平台都有使用，Windows平台使用来压缩文件，Android平台使用来作为apk文件的格式。由于zip文件格式比较复杂，在解析zip文件格式时，如果处理不当，可能导致一些有意思的逻辑漏洞，本篇文章将挑选有意思的漏洞进行解析。

病毒作者事先在一台电脑上用商业远控配置好受控端，使用批处理来添加同等配置信息；再借助一款窗口隐藏工具，隐藏商业远控端开启时的提示。这样，受害者在不知不觉间，就遭到了攻击者的毒手；而攻击者也无需编写恶意程序，通过合法商业远控的隐藏实现就控制了受害者的电脑。 在此我们提醒广大网友：木马并不只是exe等可执行程序，类似.bat这样的脚本文件同样很危险。如果遇到不熟悉的文件格式或是陌生人发来的可疑文件，切莫轻易点击运行。

近日，腾讯反病毒实验室拦截到一个恶意推广木马大范围传播，总传播量上百万，经分析和排查发现该木马具有以下特征：

长期以来,色播类App屡见不鲜,其背后是巨大的金钱利益,是病毒主要栖息之地。为了保护用户切身利益,腾讯手机管家长期以来对此类病毒进行及时查杀。

ThreatConnect Inc.与Defense Group Inc.(DGI)合作发现，“Naikon”APT小组隶属于xxx局（部队编号7xxx）。这一判断是有根据的，我们通过技术分析Naikon小组的威胁活动，并通过研究7xxx部队军官葛xx的一些言论，最终得出了这一结论。

最近，360安全中心检测到，大量推广程序在推广一款带有有效风行签名——“Beijing Funshion Online Technologies Ltd.”的静默安装程序。后续分析发现，该程序静默安装，无法卸载，通过LSP注入系统各个联网进程执行。带有反虚拟机，反调试，抗分析，远程控制，远程执行的能力，是一款植入用户计算机的后门程序。

近日,360互联网安全中心拦截了大量可疑流氓推广样本,这些样本伪装成游戏盒子,安装后接收云端指令,会强制下载推广软件,弹窗,修改主页,通过用户的电脑赚取大量的利益,本文将对此样本详细分析.

攻击者将木马制作成用户刚需应用，如色情类、生活服务类，或将恶意代码通过二次打包，注入到合法的应用当中，伪装成为合法应用，上传到android市场或某些论坛，诱导用户下载。一旦用户下载运行了此类应用，木马通过云端推送root 工具包，以及恶意应用；通过短信提取动态密码，第一时间发送给木马作者，直接造成财产损失、隐私泄露等；木马创建不死服务，后台root设备，成功root后将 恶意应用植入系统分区，用户即使恢复出厂设置也无法完全卸载木马。具体执行过程如下图：

上月底，WinRAR 5.21被曝出代码执行漏洞,Vulnerability Lab将此漏洞评为高危级，危险系数定为9(满分为10)，与此同时安全研究人员Mohammad Reza Espargham发布了PoC，实现了用户打开SFX文件时隐蔽执行攻击代码，但是WinRAR官方RARLabs认为该功能是软件安装必备，没有必要发布任何修复补丁或升级版本。