2017比特币勒索病毒: WannaCry(想哭)

先来看一下中毒后的截图吧,似乎还挺有服务意识,考虑挺周到,但是当事人真的会WannaCry. 除了杀毒软件的网站,这会儿云端存储的网站也会是流量大增吧。只有当痛苦发生了,大家才会想起来云端同步的重要性。

本轮敲诈者蠕虫病毒传播主要包括 Onion、WNCRY 两大家族变种,本次感染事件首先在英国、俄罗斯等多个国家爆发,新闻报道有多家企业、医疗机构的系统中招,损失非常惨重。安全机构全球监测已经发现目前多达上百个国家遭遇本次敲诈者蠕虫攻击。从 5 月 12 日开始,国内的感染传播量也开始急剧增加,在多个高校和企业内部集中爆发并且愈演愈烈。

WNCRY 变种一般勒索价值 300~600 美金的比特币,而 onion 变种甚至要求用户支付 3 个比特币,以目前的比特币行情,折合人民币在 3 万左右。此类病毒一般使用 RSA 等非对称算法,没有私钥就无法解密文件。WNCRY 敲诈者病毒要求用户在 3 天内付款,否则解密费用翻倍,并且一周内未付款将删除密钥导致无法恢复。

病毒原理

病毒一旦被不知情的用户点击并激活后,可以通过用户所在的局域网自动传播,使用的是445 端口 (用于文件共享) 在内网进行蠕虫式感染传播。

本次感染急剧爆发的主要原因在于其传播过程中使用了前段时间泄漏的美国国家安全局 (NSA) 黑客工具包中的“永恒之蓝”漏洞 (微软 3 月份已经发布补丁,漏洞编号:MS17-010)。和历史上的“震荡波”、“冲击波”等大规模蠕虫感染类似,本次传播攻击利用的“永恒之蓝”漏洞可以通过 445 端口直接远程攻击目标主机,传播感染速度非常快。

如何预防 – 可防不可解

  • 关闭Windows的SMB/CIFS文件共享功能,关闭用户共享和 445 端口。
  • 谨慎打开不明邮件文档,禁用 office 宏,钓鱼邮件是勒索病毒传播的一个重要渠道。
  • 启动Windows系统自动更新服务或安装微软官方补丁NSA 泄漏漏洞的安全补丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010
  • 尽快开通云端文件存储,并要有历史文件恢复功能。

不要付钱的方法 – 文件救回

如果你使用了Onedrive, Dropbox或者是Google Drive,您可以在线登陆Web云端,使用历史版本(History Version)或类似的功能,恢复到没有被感染前的文件。这也是晚上流传的不要付钱的回复办法。

如果是小企业,不想使用这些公开云,可以联系ITGeeker技术奇客,帮助你建立属于公司的私有云文件存储。

检测和杀掉勒索病毒-永恒之蓝

  1. 腾讯电脑管家免疫补丁:https://guanjia.qq.com/wannacry/
  2. 360官网页面:http://special.btime.com/37h7sasi85f95tpt54acpcir37b.shtml
  3. 360免疫工具下载地址:NSA武器库免疫工具: http://dl.360safe.com/nsa/nsatool.exe
  4. ESET Online Scanner
  5. Windows系统补丁下载地址
    Windows XP(32位系统)补丁:http://url.cn/499Z92O
    Windows7(32位系统)补丁:http://url.cn/499TgUP
    Windows7(64位系统)补丁:http://url.cn/499QOql
    Windows8(32位系统)补丁:http://url.cn/499UfBn
    Windows8(64位系统)补丁:http://url.cn/499XgR5
    Windows8.1(32位系统)补丁:http://url.cn/499XgSg
    Windows8.1(64位系统)补丁:http://url.cn/499XgSm
    Windows8 Vista(32位系统)补丁: http://url.cn/499TgW8
    Windows8 Vista(64位系统)补丁: http://url.cn/499RJx3
    其它操作系统请访问:http://url.cn/492HwRJ,选取相应补丁版本下载
    如果您不确认自己的操作系统,请使用电脑管家敲诈者病毒免疫工具离线版(链接http://url.cn/496kcwV)

应急脚本.bat

rem 关闭智能卡服务        
net stop SCardSvr        
net stop SCPolicySvc        
sc config SCardSvr start=disabled        
sc config SCPolicySvc start=disabled        
rem 开启服务        
net start MpsSvc        
rem 开机启动        
sc config MpsSvc start=auto        
rem 启用防火墙        
netsh advfirewall set allprofiles state on        
rem 屏蔽端口

netsh advfirewall firewall add rule name=”deny udp 137 ” dir=in protocol=udp localport=137 action=block

netsh advfirewall firewall add rule name=”deny tcp 137″ dir=in protocol=tcp localport=137 action=block        
netsh advfirewall firewall add rule name=”deny udp 138″ dir=in protocol=udp localport=138 action=block        
netsh advfirewall firewall add rule name=”deny tcp 138″ dir=in protocol=tcp localport=138 action=block        
netsh advfirewall firewall add rule name=”deny udp 139″ dir=in protocol=udp localport=139 action=block

netsh advfirewall firewall add rule name=”deny tcp 139″ dir=in protocol=tcp localport=139 action=block

netsh advfirewall firewall add rule name=”deny udp 445″ dir=in protocol=udp localport=445 action=block        
netsh advfirewall firewall add rule name=”deny tcp 445″ dir=in protocol=tcp localport=445 action=block        
pause

 

ITGeeker正式被黑 截图纪念一下

不知是何方大圣,可能是你用了WP4.7.1最近爆出的漏洞,黑进来之后似乎只更改了两篇文章。还留了图片,有点类似齐天大圣的“到此一游!”。

也承蒙看的起小站,希望没有留其它后门,最近真的没时间搞网站。看来还是要及时更新补丁。

截图共赏:

ITGeeker被黑纪念[dt_fancy_image type=”” lightbox=”0″ align=”” margin_top=”0″ margin_bottom=”0″ margin_right=”0″ margin_left=”0″ width=”” height=”” animation=”none” media=”” image_alt=”” hd_image=”” image=””][/dt_fancy_image]

WordPress WP_Image_Editor_Imagick 指令注入 ImageMagick漏洞

ImageMagick于2016年5月4日突然曝出 CVE-2016-3714漏洞,简单的说就是黑客利用这个漏洞在你的网站上传图片即可给你植入木马,继而达到完全操控你的服务器的目的。 ImageMagick是一个使用非常广的组件,大量厂商都在处理图片的时候调用这个程序进行处理,而且很多开源应用也在核心代码中包含了ImageMagick选项。WordPress是著名的个人博客/CMS厂商,其核心源码中使用了PHP扩展ImageMagick。受到这个漏洞的影响,在攻击者拥有一定权限的情况下,可以在Wordpress中触发任意命令执行漏洞。

解决方案:

官方方案:通过配置策略文件暂时禁用ImageMagick,

可在 “/etc/ImageMagick/policy.xml” 文件中添加如下代码: [crayon-5731823321052191436154/] 当然去官网下载最新版的ImageMagick也是一个坚决方案,官方最新版地址:https://www.imagemagick.org/script/binary-releases.php 最新版本:ImageMagick-7.0.1-2

WordPress漏洞修复-未验证是否真正解决了问题

在wordpress/wp-includes/media.php的_wp_image_editor_choose函数内部找到: [crayon-5731823321064537302611/] 修改为下面这行:(即调换最后数组的顺序) [crayon-573182332106b691782417/] 经过修改后,在阿里云VPS验证已经找不到该漏洞了,状态为漏洞文件被修改。ITGeeker总感觉这类似一个欺骗手法,但不管怎样,云服务器不会提醒你还有漏洞未修复了。

吐槽

国外的安全专家为此漏洞,新开了网站https://imagetragick.com,而且持续更新内容当中,大家也可以在上面找到一些相关的解决方案。 而相比国内的某云来说,他们会通过手机短信或者邮件通知你找到了高危漏洞,而且告诉你可以“一键修复”,让你点击去修复,然后就会告诉你,你还没付钱,不能给你修,真是有点趁火打劫啊! 如果你公布一下修复方法,对于没有技术能力的,可以付费修复也还好啊,这根本太赤裸了。

谷歌Google推出处理帐号的“后事”服务 闲置帐户管理

Google发布了一个新服务:Inactive Account Manager,中文叫闲置帐户管理。其目的是在你过世后或某段不再使用自己的帐号之后,让你决定如何处理帐号的“后事”。

官方描述:

当您停止使用帐户时(直接一点就是意外死亡啦),系统应如何处理您的照片、电子邮件和文档?Google 赋予您对自己帐户的控制权。

您可能希望与您信任的好友或家人分享自己的数据,也可能希望将自己的帐户彻底删除。您可能会因为各种原因无法再继续访问或使用自己的 Google 帐户。但无论是什么原因,我们都为您提供了选项,供您决定如何处理自己的数据。

通过闲置帐户管理员,您可以指定系统是否及何时将您的帐户作为闲置帐户处理,并指定如何处理您的数据以及通知哪些联系人。

Inactive-Account-Manager

你可以选择不活跃时间,比如3、6、9、12个月,加入10个亲密好友或家人的电话号码和联系人信息,在不活跃时间到期后,可以选择将Google Takeout里支持的服务(包括Blogger、Picasa Web Albums、YouTube等)的数据分享出来,是否删除掉自己的帐号。为了防止误删,Google会在到期前一个月通知你,如果你还健在可以记得去登录一下自己的帐号。如果你不在了也就随遇而安了。

除了防止意外去世,该功能也可以批量通知朋友或家人你换了新的帐号,老帐号不再使用了。

说到底,谷歌在打算回收账号等资源了。

RSS作者黑客Aaron Swartz 26岁自杀 附悼文:《Remember Aaron Swartz》

2013年1月11日对于科技界来说是个悲伤的日子,Reddit联合创始人、RSS规格合作创造者、web.py创始人、著名计算机黑客Aaron Swartz于纽约当地时间1月11日自杀身亡,享年26岁。这是一个IT奇客的消亡。。。

随后国外媒体转载了有其亲属和合作伙伴的联合悼文,标题为《Remember Aaron Swartz》,译文内容如下:Aaron-Swartz

我们心爱的兄长,儿子,朋友和最佳拍档Aaron Swartz于本周五在自己的布鲁克林公寓里面自杀。至今我们依然不敢相信他就这样离我们而去。

Aaron从小就对任何事情充满了好奇心,具备非凡的创造力和掩盖不住的才华;他总是替别人着想,无私給于帮助,向我们传递着无限的爱;当遇到不公平的事后也不会妥协;这就是他为这个世界,为我们的生活带来的礼物。在和他共度的时光是如此的美好,深爱着他的人和站在他后面默默支持他的人会继续完成他的心愿,打造更加美好的未来。

Aaron所托付的社会正义是深刻的,并且贯彻他的一生。在2010年,他创建了DemandProgress.org,发起“反抗互联网审查法案SOPA/PIPA”的活动;他为一个更加民主,开放,负责的政治制度而不断奋斗;他帮助人类创造,构建和维护能够扩展人类知识的范围和可访问性的浩海如烟的学术项目;他使用作为程序员和技术人员的惊人技巧不断充实自己,而且使互联网和世界变得更加的公平更加的美好。他所撰写的文字作品所传达的精神将横跨时间和空间的距离,被一代又一代人所传承发扬,收到全球数以万计的人的尊重和支持。

Aaron的死并不是一个简单的自杀事件。而是当前美国刑事司法系统中充斥的恐吓和检察超越所导致的畸形产物。马萨诸塞州的美国联邦检察官办公室和麻省理工学院的官员所作出的决定最终导致他的死亡。在这一场没有受害人的官司中美国联邦检察官办公室提供了异常严厉的指控,超过30年的监禁导致Aaron精神崩溃。同时和JSTOR不同的是MIT在事情发生的时候并未为Aaron和我们社会最珍视的原则給于相关的支持才导致悲剧的发生。

今天对于我们来说都是沉痛的,因为那个特殊的,不可替代的人已经我们而去。

Aaron Swartz的父母:Robert and Susan Swartz 他的弟弟:Noah and Ben他和合作伙伴:Taren Stinebrickner-Kauffman. (全文结束)

Remember Aaron Swartz

 

Aaron Swartz的葬礼将于1月15日伊利诺斯州Highland公园874中央大街的犹太教堂举行,具体的信息可以查看http://rememberaaronsw.com

著名黑客组织Anonymous黑进石油公司 散布支持绿色和平运动邮件

黑客组织Anonymous近日黑进五大国际石油公司,散布超过1000封电子邮件呼吁绿色和平。而这些被黑的公司包括埃克森美孚公司、壳牌石油化工股份有限公司、BP全球、俄罗斯天然气工业股份公司以及俄罗斯石油天然气集团公司。

Anonymous侵入这些公司的数据库后,破解了其哈希密码,列出了所有的内部邮件系统的路由器、操作系统类型、数据库的详细信息和服务器硬件供应商的详细信息。并公布在其网络安全博客网站NovaInfoSeco.com。

一些被泄露的数据已被第三方用于电子邮件钓鱼攻击,电子邮件上签署了一份请愿书,号召运行绿色和平组织网站SaveTheArctic.org。

Anonymous用他们自己的方式来支持“绿色和平”事业。

黑客偷了你的密码 为什么还把密码放出来给所有人看

俄罗斯黑客窃取了600万LinkedIn账户密码。难道他们把“世界上最大的职业网络”误翻成了“大家都在用的职业网络”?他们下一步要黑哪一家,谷歌+么?窃取这些账户之后,他们还打算干嘛,到黑市上卖简历吗?嫌LinkedIn邀请注册邮件还不够多,所以要利用联系人列表来发垃圾邮件么?


漠不关心者有之,冷嘲热讽者有之,但是还有一小掇人高度重视这次LinkedIn被攻击事件:安全专家。

上文几个恶搞问题最有可能的答案是:不、不、是的、是的。第一个问题,俄罗斯黑客又不傻,他们才不关心你到底有没有在用LinkedIn。第二个问题,他 们并没有紧接着攻击谷歌——谷歌太难攻了——而是攻击了人气很旺的约会网站一派和谐(eHarmony)。第三个问题,窃取简历等个人信息几乎可以肯定是 黑客计划的一部分,那可是潜在的金矿。第四个问题,伪装熟人发邮件是黑客请君入瓮的主要手段。这比自称是尼日利亚王子的邮件可信多了。

目前还不清楚此次攻击所造成的影响。LinkedIn和一派和谐现在还没有给个说法,也许是因为他们根本还没查出来究竟哪里出了问题。不过计算机安全方面的专家越来越肯定,这起事件本身远比这两家公司所说的要复杂险恶。

警告:注册了LinkedIn或者一派和谐的用户要小心了。如果你在其他网站上用了同样的用户名,特别是像贝宝(Paypal)和脸谱这样的高危网站——就更要特别小心了。如果注册了这两个网站,就要马上去改密码。(别轻举妄动,先看完这篇文章再改!)

最初的攻击报道显示,约有650万LinkedIn用户密码被放到了网上,不过还没有电子邮箱地址可以追溯到具体账号。这看上去让人松了一口气,不过又引 出了一大串疑问:黑客把大家的密码放出来给所有人看,这葫芦里究竟卖的是什么药?这些密码一旦公之于众,谁还会继续用呢?如果没有遭到“破解泄漏”的用户 密码就安全吗?

安全专家作了这样一个惊人的假设:黑客把这些密码公布出来,是为了让公众帮助他们破解其中一部分密码。如果用户密码不在公布之列,很有可能意味着用户的账 户已经不安全了。黑客有可能已经暗中掌握了密码。如果假设成立,黑客没有公布电子邮箱地址等个人信息也就合情合理了。黑客并非没有得到这些个人信息,而是 他们将其“雪藏”了,为的是有朝一日能到黑市上卖给犯罪黑客组织。

赛门铁克专家马里安·梅里特(Marian Merritt)称,有组织的黑客攻击大多是由犯罪团伙策划的,意在谋财。其次是“黑客活跃分子”组织所为,比如“匿名(Anonymous)”和 “LulzSec”。这些团伙的主要目标是恶心、揭露、阻遏以及恐吓他们的攻击目标,主要与黑客意识形态格格不入的大公司。攻击LinkedIn的手法跟 LulzSec有相似之处,比如去年夏天索尼公司100万用户个人信息失窃。不过,没有任何黑客活跃分子声称对此事负责,而且这些数据最先公布在俄罗斯专 注于密码破解论坛的事实表明,公开密码只是此番攻击的副产品,而决不是主要目标。

这些网络骗子拿到密码想干什么呢?数据安全企业Sophos的高级安全顾问切斯特·维斯涅夫斯基(Chester Wisniewski)说,用途很多。对于全世界的黑客来说,大批量泄漏的密码正好可以拿来更新他们所谓的“彩虹表(rainbow table)”——巨大的数据库,可作为破解加密密码的数字钥匙,称之为“哈希(Hash)”。最安全的网站使用另一层密码加密,称之为“放盐 (salting)”,如此一来,同样是用了“123456”这串密码,两个用户的哈希是不一样的。可是LinkedIn没有这样做,结果就是同样的钥匙 可以解锁一大批使用同一个密码串的用户,此法不仅可以用在LinkedIn上,还可以用在采取同一种哈希算法的网站上。(一派和谐的算法甚至更弱,同样没 有“放盐”。)

如果黑客同时拥有用户的电子邮箱地址和密码——多数分析师怀疑他们会这么做——这些信息同样可以直接针对LinkedIn和一派和谐用户。网络骗子得手之 后,首先要做的是运行软件,用同样的电子邮箱地址和密码组合来登录其他网站,看看是不是可以得到大家的财务或者社交账号。

LinkedIn账号上的个人信息也是某种网络攻击的理想目标,称之为“鱼叉式网络钓鱼(spear phishing)”。前国家安全局安全分析师马库斯·卡雷(Marcus Carey)说,钓鱼者的如意算盘是引诱他人下载流氓软件或者通过发送貌似正常的邮件让收件人泄露敏感信息。马库斯如今是网络安全企业快 7(Rapid7)的研究员。这些消息看上去是老板或者同事发来的,或者伪装成一封与用户业务相关的电子邮件,比如要求报价或者特定服务。由于这类邮件不 像是垃圾邮件,攻击目标往往会放松警惕。

因为鱼叉式网络钓鱼需要网络罪犯的照看和单独关注,所以仅会针对高价值目标——比如专家或者企业高管。这些人恰好又是LinkedIn的核心会员。

还有一种钓鱼几乎始终伴随着类似针对LinkedIn还有一派和谐的攻击,从某种角度来说,它是最诡计多端的。网络上图谋不轨者知道,很多人会读到包括本 文在内的文章,并且会随之修改密码。正确的办法是直接登录LinkedIn或者一派和谐网站去修改。错误的做法是点击一封看似来自官方的邮件中的链接,然 后被这个链接带到一个冒充的官方网站,并且照上面的提示重置密码。如果黑客在此之前没有得到密码,那么只要用户老老实实的照着他们设下的圈套输入密码,他 们就得逞了。别被骗了。密码被人偷走就够郁闷的了。把密码亲自送上门就更悲摧了。

Kelihos僵尸网络死灰复燃

2011年9月微软宣布已经捣毁了曾感染41000台电脑的Kelihos僵尸网络,在网络存续期间发送垃圾邮件10亿之多。今年一月微软还指认俄罗斯技术人员Andrey N. Sabelnikov是幕后黑手但遭到否认。卡巴斯基实验室今天撰文表示,Kelihos僵尸网络似乎又有死灰复燃的迹象。Kelihos

技术人员检测到,目前还有人在创建新的Kelihos变种,从而感染电脑成为僵尸网络的一部分,同时新的软件作者还设计了一个方式来夺回已经被解散的僵尸网络控制权。
卡巴斯基实验室安全研究人员Ram Herkanaidu表示,他们将向在部分受影响严重的国家发出清理工具,同时密切监视僵尸网络的活动。

Android.KungFu手机病毒来袭 安卓用户小心手机流量

2011年是Android设备爆发的一年,越来越多的朋友都享受到了智能机给生活带来的便利,但与此同时,越来越多的恶意软件也盯上了这个系统。下面,笔者就为大家分析一款目前流行的恶意软件——Android.KungFu系列变种,并且介绍针对这一病毒的解决方案。

病毒介绍

Android.KungFu最早在6月份被安全厂商截获,随后又出现了至少3种不同的变种,截止到发文为止,这款病毒仍然在不断演化。KungFu系列病毒的特征非常典型,感染此病毒的手机会自动在后台静默下载并安装某些软件,当手机感染此病毒后使用常规安全软件无法彻底清除,甚至将手机恢复至出厂设置也无法解决问题。

这款病毒通常会捆绑在某些合法软件内,在第三方Android应用市场和论坛中传播,常见的宿主包括一键XXX(免费)、音乐随身听等,截止到发文为止,LBE团队已经通知各大第三方Android应用市场和论坛关注该类型的应用。

 

 病毒分析

Android.KungFu整体架构由两个模块构成,第一个模块(Loader)会在宿主运行到特定场景时激活,随后执行提权操作,并加载第二个模块(Payload),Payload模块则常驻内存,执行各种威胁手机安全的操作。Android.KungFu不同的变种之间,区别主要在于不同的Loader,Payload模块则基本相同。

当Loader模块被激活后,首先会试图获得ROOT权限。根据宿主软件的不同,Loader会采用不同的策略,如果Loader宿主本身需要ROOT 权限,Loader就会附着在宿主需要以ROOT权限执行的代码之后运行(例如一键XXX免费版,其中捆绑的Android.KungFu会嵌入在安装 XXX的代码中)。如果宿主本身不需要ROOT权限,Loader会利用公开的漏洞(NPROC_RLIMIT)在后台静默获取ROOT权限(例如音乐随 身听)。由于这个漏洞广泛的存在于Android2.1和2.2设备上,所以,即使手机没有ROOT权限,多数手机依然会受这个病毒威胁

然后,随后,Loader会进行以下操作(不同的变种具体细节可能不同):

将系统分区设置为可写

获取设备信息,包括系统版本,手机品牌,Device ID,SDK版本等数据,写mycfg.ini,并将此ini文件复制到/system/etc下重命名为.rild_cfg

使用AES加密算法解密Payload(Payload通常保存在宿主的assets中,名为Webview.db.init),并将Payload复制以下位置:

/system/etc/.dhcpcd

/system/xbin/ccb

/system/bin/installd(将原始文件备份为/system/bin/installdd)

/system/bin/dhcpcd(将原始文件备份为/system/bin/dhcpcdd)

/system/bin/bootanimation(将原始文件备份为/system/bin/bootanimationd)

恢复系统分区为只读,并执行/system/xbin/ccb

至此,Payload已经完成金蝉脱壳,从宿主APK中成功的被释放出来了。由于病毒替换的关键系统文件(installd, dhcpcd, bootanimation)在开机过程中会自动启动,因此病毒实际上具备了以ROOT权限开机自动启动的能力。同时,由于Payload已经脱离APK 藏身于系统分区内,即使安全软件检测到病毒,也无法进行清理操作。

当Payload随系统自动启动之后,会尝试连接以下地址,获取攻击命令:http://search.gongfu-android.com:8511

http://search.zi18.com:8511

http://search.zs169.com:8511

由于Payload感染了多个系统进程,为避免相互冲突,当任意一个Payload进程连接至控制服务器后,便创建/system/etc/dhcpcd.lock文件锁来进行进程同步。

目前Payload已知的功能包括:

自动下载APK软件包至本地

静默安装APK软件包

启动指定APK软件包

静默卸载APK软件包

设置浏览器首页(未使用)

至此,病毒就会源源不断的向受感染的手机中自动下载并安装软件,从中获取高额利益了。

清除方法

使用专杀工具

由于Android.KungFu的特殊性,常规安全软件无法完全清除此病毒,因此LBE小组提供了针对Android.KungFu的专杀工具,彻底清理Android.KungFu在系统内的残留,您可以从http://www.lbesec.com/下载到此工具。需要注意的是,使用此工具之前,您必须使用安全软件全盘扫描,确保所有感染病毒的APK文件已被清理,否则有可能清除不彻底导致重新感染。

手工清理

我们推荐用户使用专杀工具,方便快捷,但如果您希望能自己动手的话,也可以手工清除Android.KungFu残留。同样在手工清除前,请使用安全软件全盘扫描,确保所有感染病毒的APK文件已被清理,否则有可能清除不彻底导致重新感染。

如果您的手机未安装过Busybox,请首先安装Busybox https://market.android.com/details?id=stericson.busybox

使用超级终端软件,或者在PC上使用adb shell连接至手机,获取root权限后,执行以下命令:

busybox mount –o remount,rw /system

busybox chattr –i /system/etc/.dhcpcd

busybox rm /system/etc/.dhcpcd

busybox chattr –i /system/etc/dhcpcd.lock

busybox rm /system/etc/dhcpcd.lock

busybox chattr –i /system/etc/.rild_cfg

busybox rm /system/etc/.rild_cfg

busybox chattr –i /system/xbin/ccb

busybox rm /system/xbin/ccb

如果/system/bin/installdd文件存在的话,执行以下操作

busybox rm /system/bin/installd

busybox mv /system/bin/installdd /system/bin/installd

如果/system/bin/dhcpcdd文件存在的话,执行以下操作

busybox rm /system/bin/dhcpcd

busybox rm /system/bin/dhcpcdd /system/bin/dhcpcd

如果/system/bin/bootanimationd文件存在的话,执行以下操作

busybox mv /system/bin/bootanimation

busybox mv /system/bin/bootanimiationd /system/bin/bootanimation

最后,重启手机,完成清理

reboot

对以上操作的一些说明:

chattr命令是用来去除文件的EXT2_IMMUTABLE_FL标志位。如果系统分区使用ext文件系统的话,病毒会给所有受感染的文件设置此标志 位,此标志位可以防止文件被删除(这也是有些用户尝试用RE管理器删除失败的原因)。如果您在执行chattr命令的时候出现错误,也不要惊慌,这说明您 的系统分区不是ext文件系统,只要随后的rm命令能够成功执行,就表示清理操作已成功。

 结语和分析

以破坏系统、炫耀技术为目标的恶意软件早已淡出视线,如今的恶意软件都以明确的利益为导向,Android.KungFu也不例外。根据用户报告,该病毒 会自动向用户手机中安装并激活下列软件:大众点评、游戏快递、有你短信、京东商城、当当网、银联、盛大切客、云中书城等。很明显,这是一款通过自动推送并 静默安装软件,以获取推广费用为目的的恶意软件。根据当前市场上一个有效激活大约2元人民币的价格,我们不难算出病毒作者以损害用户经济利益为代价,轻易 攫取了高额的回报。

目前多数安全软件(包括我们LBE小组的软件在内)仅仅会扫描APK文件,而以Android.KungFu为代表的恶意软件,则已经具备初步的感染ELF文件的能力。安全厂商应尽快跟进,加强ELF文件扫描的能力。

由于Android平台的漏洞的频频出现,而厂商在ROM更新方面相对滞后,导致相当一部分Android设备暴漏在提权漏洞的威胁中。作为Android用户,您切不可认为不ROOT就等于安全(更何况,还有相当多的恶意软件无需ROOT也可以运行)。我们建议您:只通过安全的途径下载使用软件,不安装来历不明的软件(谨慎安装各种汉化版、破解版软件),使用一款安全软件,通过以上途径来保护您手机的安全。

对于专杀工具的使用有任何疑问和建议,您可以发送邮件至lbe@lbesec.com,或者访问微博http://weibo.com/lbesec

关于Android安全技术的交流,您可以发送邮件至笔者邮箱zhangyong@lbesec.com,或者访问笔者微博http://weibo.com/lamianlbe

FBI出手 逮捕16名Anonymous黑客组织成员

周二凌晨,美国联邦调查局对涉及Anonymous黑客组织的16名成员进行了突击逮捕和搜查工作,范围包括纽约州、佛罗里达、新泽西州和加利福尼亚州部分城市,FBI先是跟踪了一些与Anonymous有关的互联网用户,并汇总出若干逮捕目标。

但目前尚不清楚行动中捕获的十几人是否会给捣毁Anonymous行动带来帮助,不但如此,FBI还和欧洲的执法机构联合调查Anonymous。

一个声称是团体成员的Twitter账户@ThaiAnonymous对此表示,逮捕这些人的意义并不大, Anonymous无论是核心成员还是普通黑客都是不可阻挡的。

之前,西班牙曾逮捕了三名涉及Anonymous黑客团体的成员。