警惕！加泰罗尼亚政治家活动家受间谍软件攻击 (加泰罗尼)

近日，有研究显示，在苹果iMessage中，一个并不起眼的零点击(zero-click)漏洞可能很早就被利用以安装来自以色列网络公司NSO和Candiru的间谍软件，目前已至少确认65人成为其目标。研究人员表示，这很可能只是一项计划多年的秘密行动的冰山一角。

根据多伦多大学公民实验室(University of Toronto’s Citizen Lab)一份最新报告显示:“受害者包括欧洲议会成员、加泰罗尼亚总统、立法者、法学家和公民社会组织的成员。当然，也有一些普通的公民成为了目标。”

在已确认的65名受害者中，63人受到飞马(Pegasus)间谍软件的攻击，另外4人则受到牙签鱼(Candiru)软件的攻击，还有至少2人的iPhone同时受到了这两种攻击。研究表明，这些事件大多发生在2017年至2020年之间。

这些攻击涉及一个名为HOMAGE的iOS漏洞武器化，该漏洞运行于2019年10月28 日发布的iOS 13.2及更早版本的设备。这里需要指出的是，当前最新的iOS版本为15.4.1。

虽然该攻击事件并没有明确地被归咎于特定的政府或实体，但公民实验室在报告中暗示了其与西班牙政府的联系，理由是在加泰罗尼亚自治区呼吁独立的情况下，西班牙与加泰罗尼亚之间的关系持续紧张。

这些发现基于英国《卫报》(The Guardian)和西班牙《国家报》(El País)在2020年7月发布的一份联合报告，该报告披露了一起涉及加泰罗尼亚独立的国内政治间谍案件。案件中独立支持者的设备被利用WhatsApp的漏洞安装了飞马间谍软件。

除了利用WhatsApp漏洞(现已修补，追踪编号为CVE-2019-3568)，攻击者还利用多个零点击iMessage漏洞和恶意短信，在三年之中不断通过飞马软件入侵加泰罗尼亚的iPhone目标。

“HOMAGE 漏洞似乎是在2019年最后几个月被利用的，它涉及到一个iMessage零点击组件，该组件在com.apple.mediastream.mstreamd进程中启动WebKit，并遵循 com.apple.private.alloy.photostream查找带有飞马软件的电子邮件地址”，研究人员在报告中写道。

这个问题可能已经在iOS 13.2版本中得到了解决，因为该漏洞被观察到仅会在运行 iOS13.1.3及更低版本的设备触发。而iOS 13.5.1版本中还存在另一个名为KISMET的漏洞利用链。

另一方面，被牙签鱼间谍软件攻击的4人是通过电子邮件受害的，攻击者诱骗他们打开看似正规的关于COVID-19的链接或者是冒充的将在巴塞罗那举行的世界移动通信大会 (MWC)的消息。

飞马和牙签鱼间谍软件被微软称为恶魔之舌(DevilsTongue)，因为它们可以轻松获取对存储在移动和桌面设备中敏感信息的广泛访问权限。对此，研究人员描述道，“间谍软件能够阅读文本、监听电话、收集密码、跟踪位置、访问目标设备的麦克风和摄像头，并从应用程序中获取信息。另外，它还可以监控加密的通话和聊天，甚至可以在攻击束后继续访问受害者的云账户。”

公民实验室在报告的最后表示，这起案件中攻击者使用的基础设施与NSO和Candiru公司高度重叠，而从攻击时间和受害者特征来看，黑客行动与西班牙政府有斩不断的关系。研究人员总结道:“这起案件之所以引人注目，是因为黑客活动似乎不受任何限制。而如果这起案件的幕后推手真的是西班牙政府，那我们就不得不思考一系列严峻的问题：该国的情报和安全机构是否受到适当监督?当局在进行黑客活动时是否需要遵循一个健全的法律框架?”

C:\WINDOWS\system32\rundll32.exe这个病毒在我的c:|windows里到处繁殖，怎么办

,,系统进程rundll32 - - 进程信息进程文件： rundll32 或者 进程名称： Microsoft Rundll32正常位置：c:\windows\system32描述：test for 用于在内存中运行DLL文件，它们会在应用程序中被使用。 这个程序对你系统的正常运行是非常重要的。 注意和神似.但是是病毒。 该病毒允许攻击者访问你的计算机，窃取密码和个人数据。 该进程的安全等级是建议立即删除。 出品者： Microsoft Corp.属于：Microsoft Windows Operating System系统进程： 是后台程序： 是使用网络： 否硬件相关： 否常见错误： 未知N/A内存使用： 未知N/A安全等级 (0-5): 0间谍软件： 否Adware: 否广告软件： 否木马: 否下面是病毒的清除方法这个病毒比较容易对付，总结对付这种病毒的方法：1：关掉病毒进程+.2：修复病毒启动项，防止病毒在系统启动的时候自动加载。 3：根据病毒启动项指出的路径，一一到各个文件夹下面找出病毒，一一删除。 4：重新启动，再打开360安全卫士全盘扫描杀毒。 5：清除系统垃圾文件（主要是临时文件夹）是什么？顾名思义，“执行32位的DLL文件”。 它的作用是执行DLL文件中的内部函数，这样在进程当中，只会有 ，而不会有DLL后门的进程，这样，就实现了进程上的隐藏。 如果看到系统中有多个，不必惊慌，这证明用 启动了多少个的DLL文件。 当然，这些执行的DLL文件是什么，我们都可以从系统自动加载的地方找到。

新买的笔记本2G内存VISTA系统、不能打CS，是什么问题？

Windows Vista 不兼容CS

小写的spoolsv.exe是什么进程呀?

病毒解决方法 前几天电脑的cpu利用率突然一直保持100%，任务管理器查看了一下发现是 这个进程，查了一下发现的打印服务程序，可以将该进程关掉，但是就不能打印了，再次 启动打印服务，症状依然。 网上查了一下： 是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇 保持高速嘈杂运转。 目前网上提供的方法或许能够解决前期问题，但对最新的变种现 象无能为力， Ctrl+Alt+Delete停止运行进程。 解决方法： 木马病毒的解决方法前几天感染了一个的木马病毒，怎么杀 都杀不掉，杀了又来，最后找了下，发现的最新变种目前还没有哪个软 件能杀掉，因此，将解决方法发布在这里，希望对大家有帮助! 是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇 保持高速嘈杂运转。 目前网上提供的方法或许能够解决前期问题，但对最新的变种现 象无能为力， Ctrl+Alt+Delete停止运行进程 重启计算机进入安全模式，在C:/windows/system32/删除(或可用搜索方 式删除C盘所有同名文件) 运行regedit，用查找方式找到并删除所有spoolsv文件。 我的电脑点击右键，选择管理 > 服务，禁用print spooler服务(目前网上提供的方 法仅到此) 重启电脑进入系统常规模式，你会发现电脑还是处于高速运转，但在搜索中已找不到 任何spoolsv相关文件。 Ctrl+Alt+Delete，你可以在进程中找到一个名为inter的后台运行程序，将其关闭即 可。 强烈建议在应用以上步骤解决问题之后，运行反木马程序扫描并删除感染文件。 我自己的原创方法是:在桌面建一个TXT文件并显示扩展名,改名为后将文 件属性改为只读,将这个假的病毒覆盖c:\winnt\system32\spoolsv\的44K真病毒.好 了,重新启动电脑.病毒没了. 最后发现这个有个公司出品了这个病毒：广州傲讯信息科技有限公司 删除经验： 是系统进程，用于将Windows打印机任务发送给本地打印机。 注意spoolsv 也有可能是.B木马。 该木马允许攻击者访问你的计算机，窃取 密码和个人数据。 两者的区别在于，前者是在SYSTEM32目录下，而木马程序不在SYSTEM32目录下，而是 在其子目录或其他目录下。 手工清除方法，进入安全模式，工具---文件夹选项---查看，将“显示文件夹内容” 、“显示所有文件及文件夹”前的勾打上，去掉“隐藏受保护的操作系统文件”前的 勾，然后全盘查找这个文件，找到后删除，另外继续查找文 件，注意，SYSTEM32目录下的不删，其他的全删。 最后清空IE临时缓存，TEMP临时目 录和回收站就OK了。 是一种延缓打印木马程序，它使计算机CPU使用率达到100%，从而使风扇 保持高速嘈杂运转；该木马允许攻击者访问你的计算机，窃取密码和个人数据。 一、判别自己是否中毒 1、点开始－运行，输入msconfig，回车，打开实用配置程序，选择“启动”， 感染 以后会在启动项里面发现运行的启动项， 每次进入windows会有NTservice 的对话框。 2、打开系统盘，假设C盘，看是否存在C:\WINDOWS\system32\spoolsv文件夹，里面 有个文件，有“傲讯浏览器辅助工具”的字样说明，正常的 打印机缓冲池文件应该在C:\WINDOWS\system32目录下。 3，打开任务管理器，会发现进程，而且CPU占用率很高 二、清除方法 1、重新启动，开机按F8进入安全模式。 2、点开始－运行，输入cmd，进入dos,利用rd命令删除一下目录（如果存在） C:\WINDOWS\system32\msibm C:\WINDOWS\system32\spoolsv C:\WINDOWS\system32\bakcfs C:\WINDOWS\system32\msicn 比如在dos窗口下输入：rd(空格）C:\WINDOWS\system32\spoolsv/s，回车，出现提 示，输入y回车，即可删除整个目录。 利用del命令删除下面的文件（如果存在） C:\windows\system32\ C:\WINDOWS\system32\ 比如在dos窗口下输入：del(空格）C:\windows\system32\，回车，即可 删除被感染的，这个文件可以在杀毒结束后在别的正常的机器上复制正 常的粘贴到C:\windows\system32文件夹。 3、重启按F8再次进入安全模式 （1）桌面右键点击我的电脑，选择“管理”，点击“服务和应用程序”-“服务”， 右键点击NTservice，选择“属性”，修改启动类型为“禁用”。 （2）点开始，运行，输入regedit，回车打开注册表，点菜单上的编辑，选择查找， 查找含有的注册表项目，删除。 可以利用F3继续查找，将含有spoolsv. exe的注册表项目全部删除。 三、再次重新正常启动即可 病毒清了后你的文件就没有了,且在服务里你的后台打印print spooler 也不能启动了,当然打印机也不能运行了,在运行里输入后,在print spooler服务中的常规项里的可执行文件路径也变得不可用,如启动会显示错 误3:找不到系统路径的错误,这是因为你的注册表的相关项也删了,(在上面清病毒的 时候) 解决方法: 1:在安装光盘里I386目录下把_文件复制到SYSTEM32目录下改名为spoolsv ,当然也可以在别人的系统时把这个文件拷过来,还可以用NT/XP的文件保护功能 ,即在CMD里键入SFC/SCANNOW全面修复,反正你把这个文件恢复就可以了。 本帖已经提 供了无毒的下载。 2:修改注册表即可：进入“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services \Spooler”目录下，新建一个可扩充字符串值，取名：“ImagePath”，其值为：“ C:\WINDOWS\system32\”（不要引号）再进入控制面板中启动打印服务 即可 这种方法非常繁琐， 其实最简单的方法是： 清空 C:\WINDOWS\system32\spool\PRINTERS 目录下所有的文件； 前提是： 已经使用了杀毒软件排除了病毒和已经使用防间谍软件排除了恶意软件。