🧛🏿 ‼️ 🕟 安全周08：病毒再次出现 👴🏻 🏾 ⏳

在讨论计算机威胁时，“恶意软件”通常称为任何恶意软件，但这并不完全正确。经典病毒是前Internet时代的一种现象，当时信息主要在软盘上的计算机之间传输，并且为了分发恶意代码，有必要将其“附加”到可执行文件中。上周，卡巴斯基实验室专家发表了一项关于KBOT病毒的研究。它通过感染可执行文件进行传播，是近几年来在野外首次发现的活病毒。

尽管采用了经过时间考验的感染方法，但该恶意软件的功能仍是最新的：窃取支付数据和密码，然后将其下载到命令服务器，从而使用标准RDP协议提供对受感染计算机的远程访问。如有必要，KBOT可以从服务器下载其他模块，换句话说，它可以完全控制系统。所有这些都是任何现代网络攻击的标准绅士风格，但是在这里，我们还处理exe文件的破坏性感染。

启动受感染的文件后，KBOT会在系统中修复，并在启动和任务计划程序中进行注册。这项研究详细描述了可执行文件的感染过程：病毒会对其进行修改，以使程序的原始功能无法保留。因此，仅在插件逻辑驱动器（外部介质，网络驱动器等）上修改文件，而不能在系统分区上修改文件，否则，操作系统将完全无法工作，而不是盗窃数据。除其他外，KBOT是一种多态病毒，也就是说，每次感染文件时，KBOT都会更改其代码。

该病毒最常见于俄罗斯和德国，但攻击总数相对较小。卡巴斯基实验室解决方案（例如Virus.Win32.Kpot.a，Virus.Win64.Kpot.a，Virus.Win32.Kpot.b，Virus.Win64.Kpot.b和Trojan-PSW.Win32.Coins）检测到KBOT及其模块.nav。这种恶意软件中的传统分发方法很有趣，但不一定有效。首先，在外部介质上存储可执行文件现在是例外，而不是规则。其次，如果30年前病毒对硬盘上数据的破坏是正常的，那么如今，网络犯罪分子的任务是在不被发现的情况下尽可能长时间地获取个人数据。可执行文件的损坏不会导致隐身。

还有什么事

在Wordpress的GDPR Cookie同意插件中发现了一个严重漏洞，该插件是一个简单的加载项，用于显示“我们在网站上使用Cookie”之类的消息。该错误使任何在Wordpress中注册的用户都可以获得管理员权限。在开放注册的网站上，例如对出版物发表评论，此问题尤其危险。大约有70万个站点被暴露。

关于Amazon Alexa智能扬声器黑客的 F-Secure研究发表。专家连接到该列的常规调试接口，从外部介质（连接到同一接口上用于调试的引脚的SD卡）启动，并可以访问设备上的文件系统。这种情况下，您可以在列上安装恶意软件。

Firefox 73浏览器版本关闭了一些严重的漏洞，其中至少有一个能够在访问“准备好的”网站时执行任意代码的能力。

Palo Alto Networks研究了不安全的 Docker 配置的示例。通过Shodan，发现了不安全的Docker Registry服务器的示例。因此，Docker映像本身以及存储在其中的应用程序均可用。

从Google Chrome浏览器的扩展存储中删除了500种恶意软件：它们都收集了用户数据，并将受害者重定向到站点，以便随后感染计算机。

恶意软件告诉关于Android恶意程序的一个有趣示例，该示例可在设备重置后恢复。

安全周08：病毒再次出现

还有什么事

More articles: