想起以前写了很多广告序，估计也没什么人看。后来看到“天眼APT Team”和“360安服团队”的人针对黑产只写了句“人在做，天在看”，有点感悟。赶紧把sb类型的广告删掉，不能低估各位看客的智商。

近期, 部署于360云平台(https://cloud.360.cn)的”360天眼威胁感知系统”发现系统告警某合作伙伴刚开通的云主机存在异常流量，联合排查后发现有恶意攻击者利用redis crackit漏洞入侵服务器并种植了名为unama的恶意程序。 360云安全研究员 --“王阳东”对此恶意程序进行较为深入的分析，此样本可能是billgates僵尸网络的一个变种。

近日，在新闻中曝光了多起通过GPS定位设备，跟踪绑架的事件（http://news.xinhuanet.com/legal/2015-11/15/c_128429526_2.htm）。很多用户都来咨询，有没有方法进行检测？于是就在市面上购买了一些GPS定位设备进行研究，研究发现这些GPS定位系统后台采用的是通用的一套程序，其云平台上存在多个高危漏洞，攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置，历史轨迹，甚至可远程切断行驶车辆的油电。用户使用GPS定位的物品、人员都是非常有价值的，如果这类平台存在安全漏洞，反而将位置信息暴露给不法分子，这会对社会造成非常大的影响。

人在做，天在看。

11月底的时候，360天眼安全实验室发布了一篇文章：网络小黑揭秘系列之私服牧马人，揭露了一起污染私服搭建工具和用户登录端程序进行木马传播的事件。其实，类似的案例远不限于此，这次我们揭露另一根链条出来，当然还是从一个样本开始。

360互联网安全中心监控到，已经沉寂一段时间的CryptoLocker（文档加密敲诈者）类木马，本月初在国内又开始传播感染。本次传播的木马是之前CTB-Locker木马的一个变种，在加密文档之后，会在文档文件名之后加入“.vvv”，该病毒也因此被称为VVV病毒。

本月初微博上有知名大V晒出一封私信截图，私信是以某记者名义发出，要求采访该大V博主，并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后，该文件被360安全卫士检测为木马进行清除。

我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析，发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙，该团伙利用盗取或冒名的各类账号，对账号关联人发起攻击，木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等，很明显是意图窃取数据进行勒索或售卖来谋取利益。

• 最早可以追溯到2007年开始进行制作并传播恶意代码等互联网地下产业链活动，一直活跃至今。
• 制作并传播的Hook007类样本HASH数量达到17万个，相关恶意代码云查询拦截次数达到1.3亿次，相关恶意代码主要以后门和盗号程序为主。
• 主要针对中国用户，累计受影响用户超过千万，单就Hook007家族统计近一年被感染用户达到50万。
• 相关初始攻击主要依托即时通讯工具（QQ\YY等）采用社会工程学方法进行对特定对象进行攻击；相关攻击对象主要为网络游戏玩家等普通网民，另外对教育、金融领域有几次针对性攻击。
• 进一步攻击方式主要是将恶意代码伪装为图片、文档等发送给特定对象，另外是制作虚假游戏平台网站，网站提供伪装游戏平台（game456等）安装包的恶意代码。

在11月初，360互联网安全中心监控到一款名为“restartokwecha“的下载者木马拦截量暴增,而对其溯源发现，木马竟然来自PConline（太平洋电脑网），1ting（一听音乐网），stockstar（证劵之星）等一批知名网站。对这些网站进行分析发现，网站广告位展示的广告中包含了Hacking Team泄露的Flash漏洞中的一个漏洞利用挂马（CVE-2015-5122）。而该下载者木马，除了在用户计算机上安装多个恶意程序外，还会推广安装多款知名软件。由于国内大量电脑仍然没有及时升级Flash插件，造成木马可以大规模传播。

随着移动端安全软件对APK的查杀能力趋于成熟以及Google对Android安全性重视的提高，病毒与反病毒的主战场已逐渐从APP层扩展到Linux底层。而且病毒作者也开始把PC端的病毒自我保护手段运用到移动端上，在移动端大量使用了免杀、加密、隐藏、反虚拟机等传统PC端病毒自我保护技术。但是之前一直还未出现过通过感染技术实现自我保护的病毒，此次，360安全团队首次发现了在Android系统中通过感染方式隐藏自身恶意代码的木马病毒——长老木马之四。

9月初360安全团队披露bt天堂网站挂马事件，该网站被利用IE神洞CVE-2014-6332挂马，如果用户没有打补丁或开启安全软件防护，电脑会自动下载执行大灰狼远控木马程序。

鉴于bt天堂电影下载网站访问量巨大，此次挂马事件受害者甚众，360QVM引擎团队专门针对该木马进行严密监控，并对其幕后真凶进行了深入调查。

近期360QVM团队截获到了一批伪装成游戏外挂、QQ刷钻、游戏刷装备等类型的敲诈软件。一旦用户点击运行，用户计算机的管理员账号将被添加或更改密码，造成用户计算机无法进行任何操作。如果用户想要解锁手机只能联系恶意软件界面上留下的QQ号码并向其进行付费，从而达到勒索用户资金的目的。

病毒作者事先在一台电脑上用商业远控配置好受控端，使用批处理来添加同等配置信息；再借助一款窗口隐藏工具，隐藏商业远控端开启时的提示。这样，受害者在不知不觉间，就遭到了攻击者的毒手；而攻击者也无需编写恶意程序，通过合法商业远控的隐藏实现就控制了受害者的电脑。 在此我们提醒广大网友：木马并不只是exe等可执行程序，类似.bat这样的脚本文件同样很危险。如果遇到不熟悉的文件格式或是陌生人发来的可疑文件，切莫轻易点击运行。

低技术门槛的漏洞利用或木马制作隐藏着极大的安全威胁，当这种安全威胁遇上手机用户的低安全意识时可能导致Android平台恶意软件的大规模爆发。360互联网安全中心最新研究发现，Android5.0屏幕录制漏洞（CVE-2015-3878）完全能够激发如上“两低”条件，漏洞威胁随时可能大规模爆发。

最近，360安全中心检测到，大量推广程序在推广一款带有有效风行签名——“Beijing Funshion Online Technologies Ltd.”的静默安装程序。后续分析发现，该程序静默安装，无法卸载，通过LSP注入系统各个联网进程执行。带有反虚拟机，反调试，抗分析，远程控制，远程执行的能力，是一款植入用户计算机的后门程序。

近日,360互联网安全中心拦截了大量可疑流氓推广样本,这些样本伪装成游戏盒子,安装后接收云端指令,会强制下载推广软件,弹窗,修改主页,通过用户的电脑赚取大量的利益,本文将对此样本详细分析.