标签: malware

我见过一些网站提供“恶意软件大学”，关于摆脱恶意软件的培训课程。您是否认为需要不时更新您的恶意软件清除技能（或武器库）？您如何更有效地应对这种日益增长、非常复杂的威胁？

我的组织最近发现了通过电子邮件发送给某些用户的恶意软件，这些恶意软件通过复杂的、有针对性的攻击设法绕过了我们的电子邮件安全。文件的名称因用户而异，但我们收集了恶意软件文件中常见 MD5 哈希值的列表。

只是在黑暗中拍摄 - 我想知道是否有一种方法可以通过 PowerShell.... 或任何方法根据文件的 MD5 哈希值而不是文件名、扩展名等来查找文件。我们数据中心的大部分服务器都使用 Windows 2012 R2。

在公司/ISP 网络中远程查找受Conficker 感染的PC 的最佳方法是什么？

今天 clamAV 扫描了我的 AWS 实例，并在每个实例上检测到 24 个受感染的文件。由于以下几个原因，它看起来像是误报：

1. 所有这些文件都是在 2022 年 10 月创建的（为什么现在才检测到它们？）
2. 每个实例的SSH端口由MFA+密码+VPN保护。

那么，我的问题是，在这种情况下我的下一步应该是什么？我应该删除这些文件吗？据我了解，它们可能是其他应用程序可以使用的系统文件。

2023-06-07T13:03:41.658+03:00   /snap/amazon-ssm-agent/6563/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:42.909+03:00   /snap/amazon-ssm-agent/6563/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:44.659+03:00   /snap/amazon-ssm-agent/6563/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:45.660+03:00   /snap/amazon-ssm-agent/6563/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:46.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:47.910+03:00   /snap/amazon-ssm-agent/6563/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:49.411+03:00   /snap/amazon-ssm-agent/6312/amazon-ssm-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:50.662+03:00   /snap/amazon-ssm-agent/6312/ssm-agent-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:51.912+03:00   /snap/amazon-ssm-agent/6312/ssm-cli: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:52.912+03:00   /snap/amazon-ssm-agent/6312/ssm-document-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:53.913+03:00   /snap/amazon-ssm-agent/6312/ssm-session-logger: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:55.413+03:00   /snap/amazon-ssm-agent/6312/ssm-session-worker: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:56.695+03:00   /snap/lxd/24061/bin/lxc: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:57.414+03:00   /snap/lxd/24061/bin/lxc-to-lxd: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.164+03:00   /snap/lxd/24061/bin/lxd-agent: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:03:58.915+03:00   /snap/lxd/24061/bin/lxd-benchmark: Unix.Malware.Kaiji-10003916-0 FOUND

2023-06-07T13:04:01.666+03:00   /snap/lxd/24061/bin/lxd-migrate: …

是否有可能在 Linux 系统上隐藏 Bash 中恶意别名的存在，并在用户不知情的情况下执行它？

除了补丁更新之外，还有什么方法可以降低 Adob​​e Reader 漏洞利用的风险？坦率地说，我不知道大多数读者漏洞利用是如何工作的。但是，是否有任何我可以在阅读器中禁用的功能可以使其更安全地免受大多数攻击？

用户开始抱怨网络速度慢，所以我启动了 Wireshark。查了一下，发现很多PC都在发送类似下面的数据包（截图）：

我模糊了用户名、计算机名和域名的文本（因为它与互联网域名匹配）。计算机正在向 Active Directory 服务器发送垃圾邮件，试图暴力破解密码。它将以管理员开头，并按字母顺序向下排列用户列表。实际访问 PC 时发现附近没有任何人，而且这种行为会在网络上传播，因此它似乎是某种病毒。使用 Malwarebytes、Super Antispyware 和 BitDefender（这是客户端的防病毒软件）扫描被发现向服务器发送垃圾邮件的计算机不会产生任何结果。

这是一个拥有大约 2500 台 PC 的企业网络，因此重建不是一个有利的选择。我的下一步是联系 BitDefender，看看他们可以提供什么帮助。
有没有人看到过这样的事情或有任何想法可能是什么？

是否有可能，或者这只会通过服务于 SMB 的 Windows 机器传播？

如果通过 SMB 服务的 Linux 可以传播 wannacrypt，那么采取什么方法？

有时，我的一些同事觉得不得不带孩子和他们一起工作。（我觉得有必要打他们，但这可能是 Parenting.SE 的主题。）为了确保孩子们 ^H^H^H^H^H 孩子们远离所有人，我的老板让我设置了几个大休息室里的电脑供他们玩。为了确保他们不会破坏一切，我将一个 4 端口以太网集线器连接到我们电缆调制解调器背面的一个空端口，并将“有趣”的计算机放在他们自己的子网上。这样，他们可以访问互联网，但他们不是我们网络的一部分。（至少，这就是我所指望的。）

我们已经使用这个设置大约一个月左右，Facebook 的强大力量一直在让孩子们（或多或少）远离我们的头发。好吧，今晚，当我对所有系统进行一些例行维护时，我决定看看孩子们都在做什么。显然，他们已经采取了自己的行动来捕获互联网曾经存在的每一个粗略的恶意软件。我在系统上设置了密码（以便在我解决问题之前它们无法继续运行）并关闭它们，但突然间我现在非常担心 - 这些系统有什么方法可以访问我们的内部网络? 另外，我有点担心他们可能会获得一些可能会获取他们个人信息的东西。

显然，我的下一步是清理计算机并为它们提供仅限用户的有限访问权限，但我想知道 - 这些系统是否曾对我们的网络构成威胁？

如果我之前不够清楚，这里有一个快速图表：

     |
     |
     |
 Internet
     V
     |
     |
 |Cable Modem|
     |  L___________________
     |                     |
     |                |4-port switch|
     |                     |
|Router/DHCP Server|       |
| / Firewall       | [Kids' Computers]
     |
     |
|Network Switch|
     |
     |
[Rest of Network]

感谢您提供任何意见。

免责声明：我喜欢孩​​子。我真的。我只是讨厌打扰和大喊大叫，我认为这是完全合理的。

我有一个私人网站，每周都会向大约 30 人的小组发送带有两个不同 http 链接的电子邮件。单击链接时，答案会注册到数据库中。从上周开始，收件人的其中一个链接会自动跟随网络嗅探器或收件人计算机上的某些恶意软件。

每封电子邮件都是单独发送的，因为链接包含每个收件人的电子邮件地址：

Yes, I will attend:
http://mywebsite.com/?email=user@domain.com&answer=yes

No, I can't attend:
http://mywebsite.com/?email=user@domain.com&answer=no

发送电子邮件大约 20 分钟后，我的网站收到以下请求：

UserHostName: 209.133.77.166
UserHostAddress: 209.133.77.166
UserAgent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; InfoPath.2; MS-RTC LM 8)
Browser: IE 7.0
Platform: WinXP
HttpMethod: GET
Path: /default.aspx
Url: http://mywebsite.com/default.aspx?answer=ab&email=hfre@qbznva.pbz
UrlReferrer: 

这里有一些奇怪的事情需要观察：

• 电子邮件地址和答案都是 ROT13 编码的（但不是参数名称）。
• 参数的顺序颠倒了。
• 只遵循第二个链接，答案=否。

还：

• IP-adress、UserAgent、Browser 和 Platform 字段与收件人计算机的字段不匹配（当然，它们可能被欺骗）。
• 上周使用的 IP 地址是 209.133.77.167。这两个地址似乎都是在上面的.net 域中动态分配的，执行 tracert 会产生主机名 209.133.77.166.T01713-01.above.net。
• 检查电子邮件标题，电子邮件是从我的网络酒店 binero.net …