后门,本意是指一座建筑背面开设的门,通常比较隐蔽,为进出建筑的人提供方便和隐蔽。在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。后门的最主要目的就是方便以后再次秘密进入或者控制系统。来源 主机上的后门来源主要有以下几种:攻击者利用欺骗的手段,通过发送电子邮件或者文件,并诱使主机的...
黑客通过攻击用户 SQL Server 服务器的方式,利用数据库相关进程下载并执行 Gh0st 后门病毒的早期变种—— “神农远控” ,火绒安全产品及时感知并拦截了该变种。 火绒查杀图 不同于原始 Gh0st 的单一执行方式和注册表的简单利用,该变种除了会在不同的操作系统(InstallTime、WOW64 等)中执行不同的病毒逻辑外,还用于感...
近期,火绒威胁情报系统监测到一种针对Linux系统的后门型病毒,经排查分析后,确定其与HelloBot家族有关。HelloBot是一个针对Linux系统的恶意软件家族,执行远程控制受害者计算机等恶意活动,因其配置测试中输出“hello world”而得名。 该病毒自2019年被披露后,被多个犯罪团伙和APT组织使用,对用户构成较大的威胁。目前,火...
日前,火绒安全团队截获后门病毒"Humpler"。该病毒伪装成多款小工具(如:老板键、屏幕亮度调节等),正通过2345软件大全等多个知名下载站进行传播。病毒入侵电脑后,会劫持QQ、360、搜狗等(市面上所有主流)浏览器首页。并且该后门病毒还在不断更新恶意代码,不排除未来会向用户电脑派发更具威胁性病毒的可能性。 Humpler病毒...
Gh0st 后门病毒就是其中之一。Gh0st 是一种远程访问工具(RAT),最早出现在 2001 年左右,通过远程控制受感染计算机来执行各种恶意活动。其发展历史与网络攻击、渗透测试和间谍活动紧密相连,并且相关代码已经开源,致使对应变种层出不穷,对用户造成了较大的威胁。据“火绒威胁情报系统”显示, Gh0st 在国内常见的后门...
IRC后门病毒是一种网络病毒。一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失。该病毒源码稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现。还有一些病毒每次运行后都会进行变形成为新的病毒。基本信息 2004年年初,IRC后门病毒...
近期,火绒威胁情报系统监测到一款后门病毒正在快速传播,被激活后会释放多个恶意文件并执行,使黑客可以进行信息收集,远程控制等恶意操作。值得注意的是,该病毒不但使用多种免杀手段躲避查杀,其释放的子文件中还具有 Synares 蠕虫感染特征,可在受害者电脑的文件中进行传播。火绒安全产品可对上述病毒进行拦截查杀,请...
病毒执行流程图 一、样本分析 该类病毒是一个由配置主导的成熟复杂的后门程序,不同的配置有不同的执行结果,这里仅以当前样本配置的执行过程进行阐述: 配置查看 在观察中发现样本有四个启动参数: --builder、--test、--shell、--dump。 --builder 需要传入指定的配置和要更新的样本文件名 filename,用于重新构建服...
第一部分:后门病毒的定义 后门病毒是一种专门设计用于入侵计算机系统的恶意软件。它的目的是在用户不知情的情况下,远程控制受感染的计算机,从而获取用户的敏感信息或者实施其他恶意行为。与其他类型的恶意软件相比,后门病毒的特点是无需用户干预即可执行,也不会给用户带来明显的不正常现象。 第二部分:后门病毒的工作原理...