每日安全简讯(20170802)

1.CNCERT发布有关异鬼II病毒预警通报

综合CNCERT和腾讯公司已获知的样本情况和分析结果，“异鬼Ⅱ”病毒通过国内高速下载器推广，并且能够兼容XP、Win7、Win10等主流操作系统。“异鬼Ⅱ”病毒隐藏在多款正规刷机软件中，带有官方数字签名。该病毒通过一系列复杂技术潜伏在用户电脑中，具有静默安装、云端控制、隐蔽性强、难以查杀等特点。该病毒通过修改VBR（卷引导记录）长期驻留在系统中，并从云端下发功能模块到受害者电脑执行恶意行为，目前下发的模块功能主要是篡改浏览器主页、劫持导航网站、后台刷流量等，具备互联网黑产盈利特性。


http://www.freebuf.com/news/142402.html

---

2.黑客入侵HBO服务器窃取超1.5TB数据

黑客入侵了HBO的服务器，并且窃取了超过1.5TB的数据，目前泄露了HBO的“权力的游戏”第七季第四集的剧本，承偌将来或许会泄露更多的内容那个。


https://www.bleepingcomputer.com ... -of-thrones-script/

---

3.安全厂商发布“Infy”恶意软件的演变

安全厂商paloaltonetworks发布“Infy”恶意软件的演变报告，将其称为闪电（“Foudre”法语）。研究人员称在2016年将Infy恶意软件的C2地址接管，在此次的Infy恶意活动中增加了对抗接管的手段。Infy使用DGA算法来实现C2域名，并通过签名文件验证域名是否可信，主要是利用将文件解密与本地存储的验证文件比较。


https://researchcenter.paloalton ... nfy-returns-foudre/

---

4.Chrome扩展程序被劫持以显示广告件

黑客劫持了Chrome扩展程序Copyfish，并向人们的网页中推送恶意广告。实际上，黑客通过电子邮件钓鱼攻击来诱使Copyfish开发者访问该链接，并且输入了开发者在Copyfish的账户凭据。


https://www.bleepingcomputer.com ... ked-to-show-adware/

---

5.研究者在勒索软件C2中发现SQL漏洞

研究者在研究一个新兴的勒索软件（命名为TOPransom）的C2地址时，发现赎金服务器的访问参数“FB”存在一个SQL注入漏洞，进一步溯源分析发现攻击者属于俄罗斯。


http://securityaffairs.co/wordpr ... ransom-malware.html

---

6.勒索软件利用空白主题恶意邮件传播

勒索软件GlobeImposter变种正在使用空白主题的恶意邮件传播，由于垃圾邮件中缺少主题和正文，因此称为空白主题。在邮件附件中的是多层压缩的zip文件，通过混淆的js脚本获取可执行的1.dat文件（该文件使用thawte颁发的证书），GlobeImposter加密完成后将加密文件后缀修改为.crypt。


https://www.bleepingcomputer.com ... lank-slate-malspam/

---