安天CERT（安全研究与应急处理中心）近期收到大量用户反馈，称其收到带有可疑附件的邮件，经过安天CERT研究人员分析发现，这是一类利用垃圾邮件进行传播和下载的木马家族Dyreza的变种，其目的是窃取银行账号和比特币。该变种通过Upatre下载者进行下载，下载Dyreza变种的服务器均为路由器。攻击者将入侵的路由器作为Dyreza变种的传播服务器，在路由器中存放的文件均为加密文件。此外，该变种还具有反虚拟机功能。在分析过程中，安天CERT研究人员发现大量的路由器被植入了Dyreza的最新变种。

本文主要描述了一个并不多见的恶意软件编写技术：把可执行代码隐藏在windows注册表里。这个技术需要我们把可执行文件的一部分或者入口写进注册表里，然后加载并执行它。这种技术意在隐藏二进制文件潜在的恶意功能，取而代之的是分散在windows注册表里的键值，最终使得恶意二进制文件难以被检测。实际上，键值里的可执行代码被加载的时候，会进行随机次数的编码（重编码），使得特征码扫描更加困难。好的检测策略是监控进程加载数据过程，而不是扫描注册表。

集结号游戏中心是一款拥有较高人气的棋牌游戏平台，包含百余款潮流性竞技休闲游戏，如斗地主、三国赛马、港式五张、对杀牛牛、捕鱼达人等。360互联网安全中心近期捕获到大量伪装该游戏平台的虚假安装包，这些安装包内预置了木马病毒，并采用多种技术手段对抗杀毒软件的检测查杀，本文将对其推广渠道、对抗手段以及木马行为进行全盘分析。

腾讯电脑管家浏览器漏洞防御模块上报的数据显示，自7月起，拦截到的挂马网页地址数量发生了急剧增长。通过进一步分析发现，这批木马不仅可以在用户电脑中安装大量的推广软件，甚至还有可能进行盗号等恶意行为，给用户的电脑和帐号带来风险。

近日总部位于意大利的监控软件开发公司HackingTeam被黑，415GB文件被泄露，其监控软件源码和漏洞源码流出，对网络安全造成了巨大冲击。猎豹移动专门对HackingTeam开发的适用于安卓系统的监控软件RCS系统进行了分析，并对肯能出现的利用该系统源码的病毒针对性的展开查杀，目前已经拦截了数十个利用该技术的变种病毒，这些病毒在隐蔽性，危害性上都非常的强大，已经对用户的隐私，数据安全构成了非常严重的威胁。

近期，腾讯反病毒实验室拦截到了大量试图通过替换windows系统文件来感染系统的木马，经过回溯分析，发现其主要是通过伪装成“37游戏在线”等安装包进行推广传播，感染量巨大。该木马的主要功能是锁定浏览器主页和推广流氓软件，木马管家已经全面拦截和查杀。同时该木马与之前的“黑狐”木马在上报数据包、代码风格、服务器分布等有极大的相似性，可以确定是同一作者所为。而通过该木马多个样本的pdb路径，我们得知该木马项目名称为“肥兔”。

7月5日晚，一家意大利远程控制软件厂商HackingTeam的内部数据被泄露出来，其影响力不亚于斯洛登事件及维基解密事件，绿盟科技威胁响应中心随即启动应急响应工作。

360手机安全研究团队vulpecker近日发现了一种新型的安卓app安全漏洞，市面上数以千万的app都受该漏洞影响。该漏洞一旦被攻击者利用，可以直接在用户手机中植入木马，盗取用户的短信、照片以及银行、支付宝等账号密码，vulpecker以“寄生兽”命名这个漏洞。

在国内流行的影音播放器客户端内嵌广告中，有一部分来自广告联盟和各种营销平台。在搜狐影音展示的一个私服广告页面中，我们监测到一个恶意的iframe标签，标签内容带有一段vbs脚本。

从5月底开始，360云安全系统监测到一个名为“中国插件联盟”的下载者木马感染量暴涨。令人匪夷所思的是，该木马的下载通道竟然是多款用户量上千万甚至过亿的播放器客户端。

“毒菡”攻击始于三年前。这个网络间谍活动的主要目标是东南亚政府和军方组织。我们发现，香港、 台湾、 越南、 菲律宾和印度尼西亚都是这次攻击行动的受害者。”毒菡”小组主要通过钓鱼攻击来感染目标，然后部署“Elise”后门木马（“Elise”是英国的一款莲花跑车）。并且，他们使用了专门定制的恶意Office文档和诱饵文件来诱使受害者上钩。

source：https://blog.malwarebytes.org/intelligence/2015/06/unusual-exploit-kit-targets-chinese-users-part-2/

最近，我们的研究人员发现了一个非常奇怪的exploit kit正在攻击中国的域名。在上一篇文章中，我们详细地讨论了这个exploit kit的运作方式，包括其感染途径，payload可执行文件，以及这个攻击工具检测到奇虎360会停止攻击。

今年年初，卡巴斯基实验室在安全扫描过程中，检测到了几个影响了自家内部系统的网络入侵行为。

接着我们大范围调查了这些入侵事件。我们分析发现了一个全新的木马平台，这个平台出自Duqu APT小组之手。Duqu APT小组是世界上最神秘，水平最高的APT小组。这个小组从2012年开始销声匿迹，直到今天又卷土重来。我们分析了这新一轮攻击，结果表明这是2011年Duqu木马的升级版，怀疑与Stuxnet木马有关。我们把这个新木马和相关的平台命名为"Duqu 2.0"。

近来, Cyphort Labs已收到多种针对于亚洲某金融机构的恶意软件,由于某进行中的研究,我们将匿名该公司.
来源已经表明,攻击的起始入口为其中一名雇员打开了某收到的鱼叉式钓鱼邮件,攻击涉及到了多种后门和用于窃取信息的木马。一些恶意软件具有反沙盒属性且含有对抗heuristic signatures（一般被反病毒公司使用）的保护.多种恶意软件样本也展示了某种一般性的主题,例如:将自身安装到%ProgramFiles%或%UserProfile%文件夹（取决于用户是否有admin特权）中.此外,多数的恶意软件样本是用Borland Delphi编译的,它们带有已加密的字符串和API字符串（被混淆或被分为多个字符串）作为保护以对抗heuristic signatures技术.除了某个样本外,其它样本都没被加壳。

脚本先锋系列第四章，也是最后一章。将介绍对Shellcode的调试，以及SWF、PDF漏洞的利用文件的简单处理过程。