易破解
给你所需要的内容YIPOJIE.CN!

发动全球最大Wannacry勒索软件病毒的幕后黑手浮出水面

易破解阅读(1776)

2017年5月左右突发全球最大的名为WannaCry的勒索病毒在疯狂传播,该病毒感染的设备超过百万台,无论是普通用户的电脑还是企业或者是机构内部的设备,甚至是部分银行的 ATM 机以及指示牌等均遭感染,WannaCry利用的是永恒之蓝漏洞进行入侵传播,WannaCry勒索病毒的肆虐,俨然是一场全球性互联网灾难,给广大电脑用户造成了巨大损失,WannaCry是自熊猫烧香以来影响力最大的病毒之一。

WannaCry

当用户主机系统被该勒索软件入侵后,对计算机里面的照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件进行加密,加密的文件后缀名被统一修改为“WNCRY”。

本周四(2018年9月6日),美国司法部起诉了一名朝鲜黑客,指控他近年来主导的多宗网络攻击罪行,包括攻击索尼影业、发动“WannaCry”勒索软件攻击、窃取孟加拉央行8000万美元,甚至是入侵韩国部署的萨德导弹防御系统等。

日前,美国联邦调查局(FBI)已经正式通过其官网宣布:通缉朝鲜黑客Park Jin Hyok(朴金浩)!根据美国财政部公开的起诉书表明,该朴姓疑犯在朝鲜侦察总局(朝鲜一家主要的情报机构)工作,多年来已主导实施多起重大的网络攻击及资金欺诈案件,其中较为轰动的事件包括,2014年攻击索尼影业、去年发动殃及全球的加密勒索软件“WannaCry”攻击、前年窃取孟加拉央行8000万美元,甚至还试图入侵目前在韩国部署的洛克希德·马丁公司的THAAD导弹防御系统项目。

根据美国当局介绍,朴金浩并非这一连串攻击及欺诈事件的唯一参与者。他负责主导的案件主要包括Wannacry和索尼攻击事件,以及2016年2月从孟加拉央行窃取8100万美元。在2014年的索尼攻击事件中,他从索尼盗取了有关电影的机密信息,删除了大量相关数据,并发布了令人尴尬的内部机密邮件,使得该公司数千台电脑无法正常使用,最终导致索尼影业联合主席艾米帕斯卡引咎辞职;在2016年窃取孟加拉央行8100万美元的事件中,他通过鱼叉式网络钓鱼电子邮件侵入银行的计算机网络之后,便通过非法渠道访问了全球同业银行金融电讯协会(SWIFT)通信系统连接的计算机终端,然后向纽约联邦储备银行发送了欺诈性认证的SWIFT消息,将资金从孟加拉国转移到其他亚洲国家的账户;在Wannacry勒索软件攻击事件中,他通过电子邮件和其他相互连接的社交媒体帐户,发送鱼叉式网络钓鱼邮件,并使用恶意软件“收集器帐户”存储被窃取的凭证,最终导致150个国家的多达30万台计算机中感染了病毒,造成了数亿甚至数十亿美元的经济损失。

但是,根据美国财务部的数据显示,朴金浩还曾和其他身份不明的同谋者“在韩国、中国及其其他地方进行这些恶意行为”。此次制裁将冻结朴金浩及“Korea Expo”在美国境内的资产,且禁止美国公民与其进行交易。

美国联邦调查局(FBI)已经向朴金浩发出了“通缉令”,称他最后一次露面是在朝鲜。而根据司法部公告显示,一旦被指控犯有的一连串诈骗和滥用罪行成立,朴金浩将面临最高20年的监禁处罚。

那位渣渣特么吃饱撑着了吧?DDoS攻击易破解网站好玩么

易破解阅读(5355)

咋天晚上易破解网站突然打不开,打开网站都是超时来的,全部显示404或者数据库为连接之类的报错,易破解登录服务器后台查看了一下,原来如此,不知道那个吃饱了撑着的人在DDoS攻击易破解网站导致服务器资源耗尽,内存飙升,服务器自然打不开了,比例来说吧,一个水坝只能装40平水,突然下了暴雨一下子超出了水坝的最大容量,马上就会导致水坝崩塌了,服务器卡死,网站陷入无反应,无服务的状态。

易破解网站于2018年8月22号上午9点左右受到的IP地址指定的DDOS攻击,服务器宕机长达7个小时,经过易破解的修复网站运行正常,长期以来易破解网站就持续的被攻击也不知道哪个渣渣盯上了易破解,爆破服务器后台密码,尝试登录易破解网站后台等等,在这里易破解可以告诉你,易破解网站的服务器密码高达26位数,大小写字母符号等等混合,欢迎来爆破,最后强烈谴责攻击易破解网站的社会渣子,你就是个渣渣。

2018年8月26号更新、攻击又开始了,死渣渣不死心啊

易破解为一个非盈利性的网站,从来没有设置任何的收费,网站没有挂任何广告,不用广告拦截插件都是比较清爽的,易破解为个人站长所运营,但是有一些不安分的社会渣子要来捣乱。

2018年8月28号更新、最近这个软件分享的圈子又热火起来了的,易破解无辜躺枪,说明还是认可易破解网站的影响力啊,什么老狗、殁狗的、还有什么小狗、俊狗的(易破解自认为从未跟他们打过交道,也没有任何得罪的言辞,这些人来易破解这里偷资源发布,易破解可从未去那边拿过资源,怎么得罪的呢,这就是跟个人的人品道德修养有问题了),还有那知名绿软站的新站长,那个不是复制粘贴都做的行行事理,扒了资源一个字不改的发布还要来咬易破解一口,只能说呵呵。

现在这个圈子不是你抄袭我就是我抄袭你的,好多来易破解这里复制粘贴一个字不改,还抹除水印的比比皆是,只能放松心态做好自己的网站就行了,不像有些渣渣搞的软件他家开发的一样,一个授权文件dll都要加壳,加推广网址来搞什么限时分享偏离绿软的初衷。

对了还要奉劝那些社会渣渣爆破SSL后台密码,以及爆破易破解网站后台,注入攻击等等的行为还是不要白费心思了,易破解网站每日都会对PHP进行杀毒,一周更换一次密码,密码的强度高达26位数以上,字母大小写符号组合,连易破解都记不住。

DDoS

CC/DDOS攻击

CC = Challenge Collapsar,意为“挑战黑洞”,其前身名为Fatboy攻击,是利用不断对网站发送连接请求致使形成拒绝服务的目的。业界赋予这种攻击名称为CC(Challenge Collapsar,挑战黑洞),是由于在DDOS攻击发展前期,绝大部分都能被业界知名的“黑洞”(Collapsar)抗拒绝服务攻击系统所防护,于是在黑客们研究出一种新型的针对http的DDOS攻击后,即命名ChallengeCollapsar,声称黑洞设备无法防御,后来大家就延用CC这个名称至今。CC攻击是DDOS(分布式拒绝服务)的一种,其攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。CC主要是用来攻击页面的,每个人都有这样的体验:当一个网页访问的人数特别多的时候,打开网页就慢了,CC就是模拟多个用户(多少线程就是多少用户)不停地进行访问那些需要大量数据操作(就是需要大量CPU时间)的页面,造成服务器资源的浪费,CPU长时间处于100%,永远都有处理不完的连接直至就网络拥塞,正常的访问被中止。

Web漏洞攻击

Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看、修改未授权的信息。

1、信息泄露漏洞
信息泄露漏洞是由于Web服务器或应用程序没有正确处理一些特殊请求,泄露Web服务器的一些敏感信息,如用户名、密码、源代码、服务器信息、配置信息等。造成信息泄露主要有以下三种原因:
Web服务器配置存在问题,导致一些系统文件或者配置文件暴露在互联网中;
Web服务器本身存在漏洞,在浏览器中输入一些特殊的字符,可以访问未授权的文件或者动态脚本文件源码;
Web网站的程序编写存在问题,对用户提交请求没有进行适当的过滤,直接使用用户提交上来的数据。

2、目录遍历漏洞
目录遍历漏洞是攻击者向Web服务器发送请求,通过在URL中或在有特殊意义的目录中附加“../”、或者

3、命令执行漏洞
命令执行漏洞是通过URL发起请求,在Web服务器端执行未授权的命令,获取系统信息,篡改系统配置,控制整个系统,使系统瘫痪等。 命令执行漏洞主要有两种情况:
通过目录遍历漏洞,访问系统文件夹,执行指定的系统命令;
攻击者提交特殊的字符或者命令,Web程序没有进行检测或者绕过Web应用程序过滤,把 用户提交的请求作为指令进行解析,导致执行任意命令。

4、文件包含漏洞
文件包含漏洞是由攻击者向Web服务器发送请求时,在URL添加非法参数,Web服务器端程序变量过滤不严,把非法的文件名作为参数处理。这些非法的文件名可以是服务器本地的某个文件,也可以是远端的某个恶意文件。由于这种漏洞是由PHP变量过滤不严导致的,所以只有基于PHP开发的Web应用程序才有可能存在文件包含漏洞。

5、SQL注入漏洞
SQL注入漏洞是由于Web应用程序没有对用户输入数据的合法性进行判断,攻击者通过Web页面的输入区域(如URL、表单等) ,用精心构造的SQL语句插入特殊字符和指令,通过和数据库交互获得私密信息或者篡改数据库信息。SQL注入攻击在Web攻击中非常流行,攻击者可以利用SQL注入漏洞获得管理员权限,在网页上加挂木马和各种恶意程序,盗取企业和用户敏感信息。

6、跨站脚本漏洞XSS
跨站脚本漏洞是因为Web应用程序时没有对用户提交的语句和变量进行过滤或限制,攻击者通过Web页面的输入区域向数据库或HTML页面中提交恶意代码,当用户打开有恶意代码的链接或页面时,恶意代码通过浏览器自动执行,从而达到攻击的目的。跨站脚本漏洞危害很大,尤其是目前被广泛使用的网络银行,通过跨站脚本漏洞攻击者可以冒充受害者访问用户重要账户,盗窃企业重要信息。

网站服务器如何防止PHP木马病毒一句话Webshell 注入 ?

易破解阅读(477)

网站服务器如何防止PHP木马病毒一句话webshell 注入,相信只要是做网站的朋友对于网站安全很重视,网站安全事情涉及网站以后的发展,如果网站被黑面临着被搜索引擎降权,用户的极度不信任从而导致的用户流失,或者网站被挂色情信息导致的法律问题,或者黑客直接对你的服务器信息进行监控偷偷使用服务器来进行挖矿,再为严重的就是黑客直接对网站进行删除数据库,删除网站文件等等毁灭性的操作,多年的努力付之东流,可想而知服务器安全问题尤为重要。

网站服务器如何防止PHP木马病毒一句话Webshell 注入

关于网站服务器如何防止PHP木马病毒一句话webshell注入的方法我们可以做以下几点防范措施

1、配置网站的WEB服务器Apache或Nginx来防止webshell上传。

2、禁用网站服务器的相关函数方式来避免漏洞而达到防止注入。

3、定期利用云锁、安全狗、悬镜等对网站服务器的文件进行查杀。

4、勤快一点计划对网站数据库、网站文件进行备份,下载到本地电脑。

攻击网站常用的手段无非使用SQL注入、XSS跨站攻击、webshell、远程代码执行、或者笨一点的办法直接爆破服务器后台,尝试登录网站管理员账号等等方法。

目前为止易破解网站每天都有朋友在尝试登录易破解管理员的账号,不过可以说的是WordPress 程序本来就是安全性比较高的一套开源的网站程序,易破解在此基础上加了很多的防护,比如封锁IP地址。

个人在国外GoDaddy 网站上注册(转入)域名真的安全吗 ?

易破解阅读(354)

个人在国外GoDaddy网站上面注册的域名真的安全吗 ?关于这个问题相信只要是搜索这个答案的好多朋友看的眼花缭乱吧,其实易破解也是看了眼花缭乱,易破解百度搜索了一大堆答案看了很多不同的意见,包括在国内最大的知识平台知乎上面进行了搜索查看学习。

GoDaddy,个人在国外GoDaddy网站上面注册(转入)域名真的安全吗?跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy,会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

一、那么说一说为什么我们国内这么多云计算的大公司,我们不在国内购买域名,比如阿里云、腾讯云、百度云、西部数码、新网等等国内的大公司购买域名呢,说到这里啊易破解不得不吐槽一下了,如果你在国内购买的域名,必须上传身份证实名制登记认证,而且主要的是如果你这个域名做什么事情都会受到很多限制,易破解知道的一个网站,由于长期分享了一些国内垃圾流氓代理商所代理的软件,受到了域名投诉,因为这个站长在阿里云购买的域名,所以啊阿里云直接暂停了此域名的DNS解析服务,而且此域名也进入了不可控状态,不可控就是说域名被阿里云停止使用了。

域名就是网站的唯一身份标示,比如大家需要访问易破解网站,那么必须访问易破解网站的域名 WWW.YIPOJIE.CN ,而在我们百度搜索易破解的时候,那么域名地址会出现在首页,如果自己辛辛苦苦做的网站域名被这样毁了,虽然可以百度搜索里面进行301网站改版,但是这样网站流量就会大幅度的下降,用户也找不到网站。

二、说一说个人在国外GoDaddy网站上面注册的域名真的安全不,有没有什么限制,到底跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy。

①国内域名受限:必须上传身份证进行实名人工审核实名认证。

②隐私可以屏蔽:国外注册域名可对购买的域名信息进行随意填写。

③风险安全保护:国外注册域名可防止恶意投诉的域名DNS暂停解析。

了解了在国外注册域名的好处,那么我们肯定关心的价格了,其实GoDaddy网站上面注册新购或者转入域名的价格都高于国内域名注册商的价格,但是为了以上的一些好处易破解还是很愿意使用GoDaddy的服务的。

三、网上说GoDaddy公司注册的域名被盗都不知道,安全问题有待评估!

知乎上面有个朋友这样说的、GoDaddy不提供免费隐私保护需要额外收费(这一点2018年开始,欧盟新隐私法规GDPR,域名WHOIS将不在显示个人信息)盗窃者即可通过地下社工库,对你进行人肉搜索或者暴力破解,一旦被找到你的邮箱密码,则盗窃者可以在不动声色情况下转移你的域名,等你发现,域名已经不属于你了。仅仅一个邮箱,就能将价值百万千万的资产偷窃,这是GoDaddy对客户安全的无视。GoDaddy也提供被盗后找回服务,这需要你注册域名时所填信息完全准确无误,再通过有经验的律师,各种证明材料,多次辗转,才有一丝找回的可能。重要的是,GoDaddy天然认为域名被盗与他们没有任何关系,他们不会有一丝的额外重视。许多人只是注册一个域名两个域名,或者无大价值的域名,他们并没有受过此类威胁。而在GoDaddy丢失的域名,则通常是大型知名网站,珍稀稀有域名。国内出现多起知名网站GoDaddy域名被盗的案例,因为这已经是一群人的生意。

上面这位朋友说的可能易破解没有遇到过,但是易破解使用了几年了感觉GoDaddy上面的安全措施虽然有一点点跟国内不一样,但是在登录GoDaddy网站账号的时候我们可以设置手机必须接收验证码才能登录,在GoDadd账号设置里面开通“两步验证”以提高账号的安全性。

GoDaddy,个人在国外GoDaddy网站上面注册(转入)域名真的安全吗?跟国内注册比有什么区别,为什么要把现有的域名转到GoDaddy,会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

GoDadd设置里面开通“两步验证”可以有效的降低盗号风险,每次登录GoDadd网站必须要提供绑定手机的验证码方可登录网站进行一些相应的管理操作。

四、还有一个问题就是我们在国外域名商GoDadd购买转入的域名到底安全不,这里的安全是指的会不会跟国内一样域名被投诉就给你暂停DNS解析服务等等。

(1)GoDadd 一般行为规则

非法,或者提倡或鼓励非法活动;

提倡、鼓励或从事儿童色情或儿童剥削活动;

提倡、鼓励或从事恐怖主义,侵犯人类、动物或财产的暴力行为;

提倡、鼓励或从事散布任何垃圾邮件或其他批量垃圾电子邮件,或者从事计算机或网络黑客攻击或破译的活动;

违反《2008 年瑞安海特网上药房消费者保护法》或类似法律,或提倡、鼓励或从事无法提供有效处方的处方药销售或散布;

违反 2017 年打击网上性犯罪法或类似立法,或促进卖淫和/或性交易;

侵犯其他用户或任何其他人或实体的知识产权;

违反其他用户或任何其他人或实体的隐私或公开权,或违反您对其他用户或任何其他人或实体承担的任何保密义务;

干扰本网站或本网站上的服务的操作;

包含或安装专门为了(或能够)扰乱、破坏或限制任何软件或硬件功能而设计的任何病毒、蠕虫、Bug、特洛伊木马或其他代码、文件或程序;

(2)内容监控账户终止政策

GoDaddy 通常不会对用户内容(无论是发布在由 GoDaddy 托管的网站上还是发布在本网站上)进行预筛。但是 GoDaddy 保留(但不承担任何责任)预筛并决定用户内容的任何项目是否适合和/或遵守本协议的权利。如果用户公布或发布任何违反本协议的材料,或违反本协议(由 GoDaddy 决定,其拥有唯一绝对酌情权),GoDaddy 可在不通知您的情况下随时删除用户内容的任何项目(无论是发布在由 GoDaddy 托管的网站上还是本网站上)和/或终止用户对本网站或本网站上服务的访问权限。如果 GoDaddy 有理由相信用户重复违反规定,则 GoDaddy 也可终止用户对本网站或本网站上服务的访问权限。如果 GoDaddy 终止了您对本网站或本网站上服务的访问权限,则拥有唯一绝对酌情权的 GoDaddy 可删除并销毁其服务器上由您存储的所有数据和服务。

上面是一部分GoDaddy的法律协议和服务条款,可以看出只要我们不做什么色情、反动、扰乱社会的事都是没有问题的,至于国内这种什么域名侵权投诉等等,GoDaddy是一家国外公司,才不会搭理你呢。

易破解原创文章,转载请以链接形式标明本文地址

本文地址:http://www.yipojie.cn/5729.html

多家三甲医院服务器遭暴力入侵 心机黑客独享资源狂挖矿

易破解阅读(980)

近期检测到广东、重庆多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。不光如此黑客还赶走了50余款挖矿木马,自己霸占服务器资源进行挖矿。

攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,攻击者的挖矿木马会检测多达50个常用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。该挖矿木马还会通过修改注册表,破坏操作系统安全功能:禁用UAC(用户帐户控制)、禁用Windows Defender,关闭运行危险程序时的打开警告等等。

多家三甲医院服务器遭暴力入侵 黑客独享挖矿资源

已知样本分析发现,攻击者使用的挖矿木马拥有多个矿池,开挖的山寨加密币包括:门罗币(XMR)、以太坊(ETH)、零币(ZEC)等等,从矿池信息看,目前攻击者已累积获利达40余万元人民币。

已发现有关病毒作者的线索,这位挖矿木马的控制者使用同一个ID在各类黑客论坛、开发者论坛活跃时间长达十年以上。

统计分析,我国医疗机构开放远程登录服务(端口号:22)的比例高达50%,这意味着有一半的服务器可能遭遇相同的攻击。

22端口提供ssh隧道连接服务;23端口主要用于Telnet(远程登录)服务,是Internet上普遍采用的登录和仿真程序,由于一些管理员的安全意识薄弱,设置密码简单容易猜解,导致黑客能够通过密码字典进行猜解爆破登录。

跟踪分析发现被入侵的设备IP网段比较集中,特别是113.*网段存在大量被入侵的机器, 例如被攻击的广州市某人民医院、广州市某大学附属医院、重庆某儿童医院、天津某大学等等,这些机构的设备都处于113.*网段,而这些机器上又都开放有22、23等端口。

因此推测黑客入侵通过批量扫描发现网络上存在易受攻击的机器,然后进行端口爆破入侵并植入了挖矿木马。目前发现该挖矿木马主要感染地区前三依次为江苏、上海、广东。

预防措施

1.加固服务器,修补服务器安全漏洞,使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。

2.如果不常使用可关闭22、23等易受攻击的端口。

3.检查进程中是否存在Teamviewer.exe,如果网管并未使用该远程管理工具,而进程中存在。

警惕新型挖矿病毒 Rakhni 操作挖矿还是感染恶意后门软件

易破解阅读(404)

近期,安全研究专家发现了一款非常有意思的恶意软件,它会根据目标用户的电脑配置来决定到底用哪个方案来从用户身上牟利,勒索软件可以锁定你的电脑,并通过对数据进行加密来阻止你访问自己电脑中的文件,直到你向攻击者支付赎金才行,而非法挖矿软件利用的是目标用户设备的CPU算力以及电能来挖加密货币。这两种攻击在这两年里已经成为了广大用户面临的主要威胁,作为非针对性攻击而言,这两种攻击具有一定的相似性,因为它们不仅都需要从目标用户身上牟取利益,而且两者都涉及到加密货币。

Rakhni

但是,锁定目标用户的电脑并不一定能够给攻击者带来利益,因为很多用户的电脑中并没有存储多少有价值的东西,因此很多攻击者便开始通过利用目标设备的CPU和电能来赚钱,也就是所谓的恶意挖矿。

卡巴斯基实验室的研究人员将这款恶意软件命名为Rakhni勒索软件,而且Rakhni近期更新得也比较频繁,并提升了其挖矿能力。

Rakhni

Rakhni采用Delphi编写,并通过微软Word文档附件(钓鱼邮件)的形式进行传播,当目标用户打开附件文档之后,文件会提醒用户保存文档并启用编辑功能。该文档包含一个PDF图标,点击之后便会在目标用户设备上运行恶意可执行文件,并立刻显示伪造的错误提示框,然后欺骗用户让他们以为系统缺失了相关的组件。

Rakhni如何判断进行哪种感染操作?

在后台,Rakhni会进行很多反虚拟机和反沙箱检测操作,如果所有条件都满足,它便会进行下一步检测来判断使用哪一个感染Payload,即感染勒索软件还是挖矿软件。

1、安装勒索软件:目标系统的AppData目录中是否拥有跟“比特币”相关的内容?

在使用RSA-1024加密算法对文件进行加密之前,恶意软件会终止预定义列表中所有指定的热门应用进程,并通过文本文件显示勒索信息。

2、安装加密货币挖矿软件:若目标系统中没有跟“比特币”相关的内容,而设备又拥有两个或以上的逻辑处理器。

如果系统感染了挖矿软件,它便会使用MinerGate工具在后台挖XMR、XMO换个DSH等加密货币。

除此之外,它还会使用CertMgr.exe工具来安装伪造的证书,并声称该证书由微软和Adobe公司发布,然后尝试将挖矿软件伪装成合法进程。

Rakhni

3、激活蠕虫组件:若目标系统中没有跟“比特币”相关的内容,而设备又只拥有一个逻辑处理器。

这个组件将帮助恶意软件在本地网络设备中实现自我复制。

除了感染判断之外,Rakhni还会检测目标设备是否运行了反病毒软件,如果没有运行,Rakhni将会运行多个cmd命令来尝试禁用Windows Defender。

竟然还有间谍软件功能?

研究人员表示,Rakhni另一个非常有意思的地方就在于它还具备了某些间谍软件功能,其中包括列举正在运行的进程列表以及实现屏幕截图。

这款恶意软件主要针对的是俄罗斯地区的用户(95.5%),其中还有一小部分用户位于哈萨克斯坦(1.36%)、乌克兰(0.57%)、德国(0.49%)和印度(0.41%)等地。

Rakhni缓解方案

保护用户安全最好的方法就是不要打开邮件中嵌带的可疑文件和链接,并定期更新你的反病毒软件。除此之外,别忘了定期备份有价值的数据。

知名压缩软件”快压”传播病毒和多款流氓软件 劫持流量

易破解阅读(617)

日前安全团队发现,知名压缩软件”快压”正在传播木马病毒”Trojan/StartPage.ff”,该木马病毒会劫持被感染电脑浏览器首页;此外,”快压”还会推广其他流氓软件,其自身也存在流氓行为:弹窗广告、自动创建桌面快捷方式。由于国内各大下载站都提供”快压”软件下载,传播范围极广。建议近期下载过该软件的用户尽快对电脑进行扫描查杀。

知名压缩软件"快压"传播病毒和多款流氓软件 劫持流量

用户从下载站下载”快压”并安装时,”快压”会像病毒躲避安全软件查杀一样,判断用户电脑中有没有安全软件,如果没有,则会给用户电脑捆绑安装一款名为”WinHome主页卫士”的软件,该软件携带木马病毒”Trojan/StartPage.ff”。病毒入侵电脑后,会劫持用户首页。

快压”自身也存在多种流氓行为,会在用户电脑中弹出广告、创建”淘宝”、”百度”桌面快捷方式。并且”快压”会对抗拦截广告的软件和工具,以保证其推广弹窗不会被拦截。

kuaizip

此外,”快压”还会推广”小黑记事本”、”ABC看图”等多款流氓软件。火绒工程师通过查询企业注册信息发现,虽然”快压”为上海广乐网络科技有限公司旗下产品,”小黑记事本”、”ABC看图”为上海展盟网络科技有限公司产品,但两家公司的法人信息和注册邮箱均一致,或系同一团队制作。

国产软件之殇,快压官方针对病毒问题发声!

近日,国内火绒安全团队发文称知名软件“快压”劫持电脑浏览器首页,并进行软件捆绑与广告弹窗。接到此消息,快压研发团队极为慎重,立即对此事展开了内部调查核实,经过多次严密分析与验证,我们发现,火绒安全团队所分析的快压软件为2016年的被木马所感染的病毒文件,该木马文件同时感染了其他知名软件。该木马文件国内各大杀软厂商已于2016年事发当时迅速全部查杀完毕,包括快压在内的各大软件厂商后续已作更新,截至当前为止并无感染情况发生。

快压是一款有10多年历史的首款国内知名压缩软件,在移动app的浪潮下,PC软件的生存空间仅一息尚存。大多数软件从业者纷纷转行,投入了移动端、区块链的怀抱。快压不忘初心,坚持做好每一款PC软件。然而在国内免费软件的大势下,如何生存成为了所有软件企业的痛,如何更好的平衡用户体验与企业存活,永远是个两难的问题。弹窗广告成为了包括搜狗输入法、快压在内的绝大多数PC软件的微薄收入来源。没有人不想做体验好的产品,为解决这一两难问题,快压推出付费会员版,无广告,在更加艰难的收费软件路上,前行。

国产软件实乃不易。我们感谢火绒团队的这一发声,尽管是16年的一起历史行业事件,但依然警醒了我们要时刻注意软件的安全性、可靠性以及用户体验,我们也感谢360安全卫士、QQ管家、金山毒霸以及火绒等国内知名软件厂商长期以来对软件行业的全面规范和保护。有大家的共同努力,或许,在这个寒冬,国内PC软件能迎来一个春天。

易破解点评!

刚刚去看了快压的软件已经更新到了 快压 2.9.1.7 更新时间: 2018-05-14、而携带流氓病毒的版本图中的为 快压 2.8.4.8,看了下官网这个版本是 2015-09-09 更新时间的。

捆绑主页、劫持流量在现在的互联网时代见怪不怪了,但凡知名一点的软件厂商为了赚钱不择手段的很多、比如在官网发布的版本与在各大下载站软件库推送的版本又不一样、存在猫腻。

估计还是真的干过这些流氓事情、刚刚打开快压官网已经被我的 ESET NOD32 直接拦截访问

免责声明:本站部分文章和信息来源于国际互联网,本站转载出于传递更多信息和学习目的,并不意味着赞同其观点或证实其内容的真实性,并且无损害任何公司的行为更不涉及侵权。

本文章转载自原文:火绒安全

CNNVD 预警通报 Microsoft Access 远程代码执行漏洞

易破解阅读(312)

近日,微软官方发布了多个远程代码执行漏洞的公告,包括Microsoft Access 远程执行代码执行漏洞、PowerShell 编辑器服务远程执行代码漏洞等8个漏洞。成功利用上述远程代码执行漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

成功利用Microsoft Access 远程代码执行漏洞的攻击者,能在当前用户环境下执行任意代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统。Microsoft Excel 2010 Service Pack 2、MicrosoftExcel 2013 Service Pack 1、Microsoft Excel 2016、Microsoft Office 2010 Service Pack 2、MicrosoftOffice 2013 RT Service Pack 1、Microsoft Office 2013Service Pack 1、Microsoft Office 2016、Microsoft Office Compatibility Service Pack 3等版本均受漏洞影响。

一、 漏洞介绍

Microsoft Windows是美国微软公司研发的一套采用了图形化模式的操作系统。Microsoft Access、PowerShell 编辑器、Skype For Business、Lync、Microsoft SharePoint、.NET Framework、Visual Studio等是其重要组成部分,主要于日常办公。7月10日晚,微软发布了8个远程代码执行漏洞(详见表1),攻击者利用相关漏洞,可以在目标系统上执行任意代码。

CNNVD漏洞预警关于微软多个远程代码执行漏洞的通报

二、修复建议

目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。微软官方链接地址如下

CNNVD漏洞预警关于微软多个远程代码执行漏洞的通报

CNNVD 关于微信支付官方SDK XXE 漏洞情况的通报预警

易破解阅读(544)

近日,国家信息安全漏洞库(CNNVD)收到关于微信支付SDK XXE(XML External Entity)漏洞(CNNVD-201807-083)情况的报送。成功利用该漏洞的攻击者可以远程读取服务器文件,获取商户服务器上的隐私数据,甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。

CNNVD 关于微信支付官方SDK XXE 漏洞情况的通报预警

一、漏洞介绍

微信支付官方SDK是微信支付官方的软件工具开发包,在使用微信支付时,商家需要向微信提供一个URL用来接收异步支付结果的通知,该接口接受XML格式的数据。XML语言标准支持了与外部进行实体数据交换的特性,如果程序在解析XML时没有限制或关闭该特性,同时外部又可以传入有恶意代码的XML数据就会触发漏洞。微信支付官方提供的SDK由于编码遗漏,未关闭该XML特性。商家在其系统中如果使用该版本SDK,系统便会受漏洞影响。

微信在支付过程中,其Java版本的SDK没有关闭该XML特性,导致攻击者在获取了接收通知的URL地址的前提下,可以通过构造恶意的XML数据包发送到该URL来窃取商家网站服务器上的隐私数据。

二、危害影响

成功利用该漏洞的攻击者可以远程读取服务器文件,获取商户服务器上的隐私数据,甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。

三、修复建议

目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施,具体措施如下:

1.如果后台系统使用了官方SDK,请更新SDK到最新版本,链接如下:

https://pay.weixin.qq.com/wiki/doc/api/jsapi.php?chapter=11_1

2.如果有系统提供商,请联系提供商进行核查和升级修复;

3.如果是自研系统,请联系技术部门按以下指引核查和修复:

XXE漏洞需要在代码中进行相应的设置,不同语言设置的内容不同,下面提供了几种主流开发语言的设置指引:

【PHP】

libxml_disable_entity_loader(true);

【JAVA】

不同java组件修复方案不一样,请参考OWASP修复建议:

https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Prevention_Cheat_Sheet#Java

【.Net】

XmlResolver = null

【Python】

from lxml import etree

xmlData = etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

【c/c++(常用库为libxml2 libxerces-c)】

【libxml2】:

确保关闭配置选项:XML_PARSE_NOENT 和 XML_PARSE_DTDLOAD

2.9版本以上已修复xxe

【libxerces-c】:

如果用的是XercesDOMParser:

XercesDOMParser *parser = new XercesDOMParser;

parser->setCreateEntityReferenceNodes(false);

如果是用SAXParser:

SAXParser* parser = new SAXParser;

parser->setDisableDefaultEntityResolution(true);

如果是用SAX2XMLReader:

SAX2XMLReader* reader = XMLReaderFactory::createXMLReader();

parser->setFeature(XMLUni::fgXercesDisableDefaultEntityResolution, true);

此外,针对使用XML进行数据交换的网络系统(如:第三方支付平台等),建议相关系统厂商对解析处理XML数据的功能代码进行安全检查,可参考上述方法修复漏洞,及时消除漏洞风险。

本通报由CNNVD技术支撑单位——腾讯计算机系统有限公司、北京长亭科技有限公司、北京华顺信安科技有限公司提供支持。

CNNVD将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与CNNVD联系。

警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

易破解阅读(1045)

安全团队截获后门病毒”Humpler”。该病毒伪装成多款小工具(如:老板键、屏幕亮度调节等),正通过2345软件大全等多个知名下载站进行传播。病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。并且该后门病毒还在不断更新恶意代码,不排除未来会向用户电脑派发更具威胁性病毒的可能性。

Humpler,警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

Humpler病毒伪装成”老板键”、”屏幕亮度调节”等多款小工具。当用户在2345软件大全、非凡、PC6等下载站下载并运行上述小工具后,病毒将侵入电脑。随即弹出弹窗,询问是否”愿意支持”该软件,如果用户选择”支持”,病毒会立即劫持浏览器首页。但即使用户选择拒绝,病毒仍会在一天之后劫持用户的浏览器首页。也就是说,无论用户选择愿意与否,被感染电脑浏览器首页都会被劫持。

Humpler,警惕!知名下载站传播后门病毒 全面劫持各大主流浏览器

近期,截获到一批后门病毒样本,病毒会将自己伪装成小工具(如:超级老板键、超级变声器、屏幕亮度调节等),并会通过2345软件大全、非凡下载站、PC6下载站等多个软件下载站进行传播。病毒会通过C&C服务器获取最终恶意代码,恶意代码执行后,表面会询问用户是否”愿意支持”软件后进行首页锁定。但在第二天用户再次启动该程序时,不论用户是否选择”愿意支持”都会强行劫持浏览器首页。而且为了躲避安全厂商查杀,现阶段被下发的病毒模块为PE头被简化过的模块数据。截至到目前,被下发的病毒模块数据依然在持续更新,我们不排除病毒将来会下发其他病毒模块的可能性。

电脑计算机中了后门病毒”Humpler”症状会在不经过用户允许的情况下劫持浏览器首页,而且手动更改不回来,里面还是会跳转到指定到主页导航。