-
2024-11-01
样本分析 | 非官方火绒剑存在后门风险,谨慎下载使用近期,火绒安全实验室在某论坛中发现一名用户发帖上传了被篡改过的火绒剑程序,该事件详细经过可参考《情况说明 | 非官方火绒剑存在后门风险,请用户谨慎下载使用-公司资讯-火绒安全》,在此不做赘述,本文为该样本的内容分析。经火绒工程师确认,该“盗版火绒剑”中的 uactmon.dll 文件被篡改,在其 DLL 加载时会解密出恶意 DLL 数据并加载执行,最后实现后门操作。目前,火绒安全产品可对上述被篡改的病毒样本进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。同时我们也希望广大用户在官方渠道下载软件,避免企业或个人信息及财产存在被泄露的风险。
-
2024-10-22
Go语言下的“伪装者”如何实现悄无声息地隐私盗窃近期,火绒工程师在日常关注安全动态时发现,Lumma Stealer 木马家族会利用 Go 语言编写注入器,通过 AES 解密创建傀儡进程并注入恶意代码窃取用户信息,其中恶意代码经过控制流混淆、常量加密以及手动调用系统调用号等方式使代码复杂度提高,更难以破解。分析发现该样本会利用 Steam 账户名称、动态获取远程服务器域名,根据下载的 JSON 配置窃取相应应用程序数据,例如浏览器数据等,此外还会窃取邮箱、Steam、Discord、TXT 文件等数据。目前,火绒安全产品可对上述窃密木马进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-10-09
2024-10微软漏洞通告微软官方发布了2024年10月的安全更新。本月更新公布了165个漏洞,包含43个远程执行代码漏洞、28个特权提升漏洞、26个拒绝服务漏洞、7个身份假冒漏洞、7个安全功能绕过漏洞、6个信息泄露漏洞、1个篡改漏洞,其中3个漏洞级别为“Critical”(高危),114个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-09-29
反沙箱与杀软对抗双重利用,银狐新变种快速迭代近期,火绒威胁情报中心监测到一批相对更加活跃的“银狐”系列变种木马,火绒安全工程师第一时间提取样本进行分析。分析中发现样本具有检测沙箱和杀毒软件的行为,还会下载 TrueSightKiller 驱动关闭杀软,同时下载创建计划任务的 Shellcode 实现持久化,最终下载后门模块实现远程控制。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-09-11
2024-09微软漏洞通告微软官方发布了2024年09月的安全更新。本月更新公布了79个漏洞,包含30个特权提升漏洞、23个远程执行代码漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、3个身份假冒漏洞,其中7个漏洞级别为“Critical”(高危),71个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
-
2024-09-11
探究窃密木马FormBook免杀手段——多变的加载器近期,火绒工程师在日常关注安全动态时发现FormBook木马家族存在利用多种加载器混淆处理进行免杀的行为,因此火绒工程师对其木马家族多种样本进行横向分析,分析发现该木马家族多个样本的主要功能几乎没有变化,只有加载器不断变化,且加载器核心机制仍然由读取、解密和注入三个步骤组成。其中注入的FormBook代码通过自修改代码(SMC)和多次注入以及通过天堂之门实现免杀。火绒安全产品可对上述窃密木马进行拦截查杀。
-
2024-08-29
防护修复双重保障 | CVE-2024-38063远程代码执行漏洞通告近期,Microsoft宣布了存在于Windows的TCP/IP栈中的WindowsTCP/IP远程代码执行漏洞(CVE-2024-38063)。无需用户操作,攻击者即可通过此漏洞远程控制系统。目前,火绒个人版5.0产品最新版本5.0.75.11已支持防护,个人版6.0、企业版产品也会在近期陆续支持防护。请火绒用户及时更新至最新版本。鉴于漏洞存在被利用的可能性,开启相关防护的同时建议使用漏洞修复功能及时更新相关补丁。
-
2024-08-20
“李鬼”软件暗设后门,对抗杀软侵蚀系统近期,火绒威胁情报中心监测到伪装成有道翻译安装包的样本存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现该样本使用白加黑、反射加载 DLL 进行免杀,最终下载后门代码实现对受害者主机的控制。同时,它还会绕过 UAC 实现无弹窗执行,并存在创建服务设置自启动进行持久化驻留等行为。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-08-14
2024-08微软漏洞通告微软官方发布了2024年08月的安全更新。本月更新公布了185个漏洞,包含36个特权提升漏洞、30个远程执行代码漏洞、8个信息泄露漏洞、7个身份假冒漏洞、6个拒绝服务漏洞、4个安全功能绕过漏洞、1个篡改漏洞,其中9个漏洞级别为“Critical”(高危),81个为“Important”(严重)。
-
2024-08-13
后门病毒伪装PDF文档,利用钓鱼邮件实现远控近期,火绒威胁情报中心在日常巡视中发现一恶意 GitHub 存储仓库存在病毒风险行为,火绒安全工程师第一时间提取样本进行分析。分析中发现该样本通过混淆 JavaScript 作为执行体,先下载 PDF 文档用以迷惑用户,接着下载另一个带有成熟后门功能的样本混淆 JavaScript 执行控制功能。结合相关威胁情报和攻击者的 TTP(Tactics, techniques, and procedures),可以确认利用的是名为 WSHRAT 的成熟 JavaScript 后门,并基于钓鱼邮件进行分发。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-07-18
成熟后门身披商业外衣,对抗杀软实现远控近期,火绒威胁情报中心监测到一个名为“企业智能化服务平台” 网页上托管的文件存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现样本为易语言编写的成熟后门,能根据 C2 指令实现对受害者机器的完全控制。除此之外,它还会检测受害者机器中杀软的安装情况进行对抗,上传受害者系统中相关信息,并设立开机启动项进行持久化驻留等。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
-
2024-07-10
2024-07微软漏洞通告微软官方发布了2024年07月的安全更新。本月更新公布了142个漏洞,包含59个远程执行代码漏洞、26个特权提升漏洞、24个功能绕过漏洞、17个拒绝服务漏洞、9个信息泄露漏洞、7个身份假冒漏洞,其中5个漏洞级别为“Critical”(高危),134个为“Important”(严重)。