为了保证网络安全,每个人都需要识别网络钓鱼电子邮件中通常用于传播恶意软件的恶意附件。
当恶意软件传播时,攻击者创建垃圾邮件运动,这些活动伪装成发票、邀请函、支付信息,运输信息,电子邮件,语音邮件等。这些电子邮件中包含恶意的Word和Excel附件或链接,当打开这些附件并启用了宏后,这些附件就会在计算机上安装恶意软件。
但是,在Word或Excel执行文档中的宏之前,Office要求你点击“启用编辑”或“启用内容”按钮,不过这是绝对不能做的。
切勿在收到的附件上点击“启用内容”
为了诱骗用户点击这些按钮,恶意软件传播者会创建包含文本和图片的Word和Excel文档,其中指出了显示文档的问题,然后,它提示收件人点击“启用内容”或“启用编辑”以正确查看内容。
这些恶意附件中的文字和图片的组合被称为“文档模板”,以下是垃圾邮件活动中针对一些更广泛的恶意软件感染所使用的不同文档模板,需要注意的是,这些文档模板也可以用于不同的恶意软件。此外,这是一个更常见的模板示例,但是还有许多其他的模板。
BazarLoader是一款以企业为目标的恶意软件,由“TrickBot”木马幕后的同一组织开发。当安装后,攻击者使用BazarLoader/BazarBackdoor远程访问你的计算机,然后用来攻击你的网络的其余部分。
当一个网络被BazarLoader感染时,攻击者通常会最终部署Ryuk勒索软件来加密网络上的所有设备。
通过钓鱼邮件传播BazarBackdoor的钓鱼邮件通常含有谷歌文档和谷歌表格上的Word或Excel文档链接。
但是,这些Google文档文档伪装成问题,并提示你下载文档。该下载实际上是安装BazarLoader的可执行文件,如下所示。
BazarLoader:伪造的Google文档托管附件
Dridex是一个高级的、模块化的银行木马,于2014年首次被发现,并不断更新。
感染后,Dridex将下载不同的模块,这些模块可用于窃取密码,提供对计算机的远程访问或执行其他恶意活动。
当Dridex进入到网络时,通常会导致部署BitPaymer或Dridex勒索软件攻击。
另一种名为WastedLocker的勒索软件也与Dridex有关,但一家网络安全公司不同意这些评估。与其他恶意软件传播活动不同,Dridex gang倾向于使用更格式化的文档模板来显示小的或模糊的内容,并提示你点击以使内容看得更清楚。
例如,下面的模板声明文档是在Microsoft Office Word的早期版本中创建的,并在下面显示难以读取的文档。
Dridex:在早期版本的Word中创建
Dridex还使用更多风格化的文档模板,伪装成是DHL和UPS的运输信息。
Dridex:伪造的DHL发货信息
最后,Dridex将显示一些难以阅读的付款发票,提示你点击“启用编辑”以正确查看它。
Dridex:Intuit的伪造发票
从上面的例子中可以看出,Dridex喜欢使用带有公司徽标和抬头的嵌入文档的图像来诱使用户启用宏。
Emotet是包含恶意Word或Excel文档的垃圾邮件中分布最广的恶意软件,一旦受到感染,Emotet将窃取受害者的电子邮件,并通过被感染的电脑向全球的收件人发送更多垃圾邮件。
感染了Emotet的用户最终会进一步感染木马,比如TrickBot和QakBot。这两个木马都被用来窃取密码,cookie,文件,并导致组织在整个网络范围内遭受破坏。
最终,如果感染了TrickBot,网络很可能会受到Ryuk或Conti勒索软件攻击的影响。对于受QakBot影响的用户,可能会受到ProLock勒索软件的攻击。
与Dridex不同,Emotet不在其文档模板中使用实际文档的图像。取而代之的是,他们使用了各种各样的模板,这些模板显示警告框,提示你无法正确查看文档,并且用户需要点击“启用内容”以阅读文档。
例如,下面显示的“Red Dawn”模板声明“此文档受保护”,然后提示你启用内容读取它。
Dridex:“此文档受保护”模板
下一个模板假装无法正确打开,因为它是在“iOS设备”上创建的。
Emotet:在iOS设备上创建
另一种说法是,该文件是在Windows 10移动设备上创建的,这是一个奇怪的消息,因为Windows 10移动设备已经停产一段时间了。
Emotet:在Windows 10手机上创建
下一个模板假装文档处于“Protected视图”中,用户需要点击“Enable Editing”才能正确查看它。
Emotet:受保护的视图
下一个模板更有趣一些,因为它告诉用户在查看文档之前接受Microsoft的许可协议。
Emotet:接受许可协议
另一个有趣的模板会伪装成Microsoft Office激活向导,它提示用户“启用编辑”以完成激活Office。
Emotet:Office激活向导
最后,众所周知,Emotet使用一个伪装成Microsoft Office转换向导的文档模板。
Emotet:转换向导
可以看到,Emotet没有使用格式化的文档模板,而是使用常规警告来尝试说服用户在附件中启用宏。
QakBot或QBot是一种银行木马,通过网络钓鱼活动传播,该网络钓鱼活动通常向企业发送恶意的Microsoft Word文档。
QakBot是一种模块化木马,可以窃取银行信息,安装其他恶意软件或提供对受感染设备的远程访问的功能。
就像本文中提到的其他木马一样,QakBot也与一种名为ProLock的勒索病毒有合作,而ProLock通常是攻击的最终有效载荷。与Emotet相比,QakBot活动更倾向于使用更多风格化的文档模板。QakBot垃圾邮件活动使用的最常见模板伪装来自DocuSign,如下所示。
QakBot:DocuSign模板
其他模板包括伪装来自Microsoft Defender或Word更新和激活屏幕的模板,例如以下模板。
QakBot:Word更新和激活漏洞
最后,永远不要打开以.vbs、.js、.exe、.ps1、.jar、.bat、.com或.scr扩展名结尾的附件,因为它们都可以用于在计算机上执行命令。
由于大多数电子邮件服务(包括Office和Gmail)都会阻止“可执行”附件,因此恶意软件传播者会将它们发送到受密码保护的档案中,并将密码包含在电子邮件中,这种技术允许可执行附件绕过电子邮件安全网关并到达预定的收件人。
JAR附件
不幸的是,Microsoft决定默认情况下隐藏文件扩展名,从而使攻击者能够诱骗用户运行不安全的文件。因此,BleepingComputer强烈建议所有Windows用户启用文件扩展名的显示。
如果你收到一封电子邮件包含其中一个可执行文件类型,它几乎毫无疑问是恶意的,你应该立即删除。
病毒、蠕虫与木马之间有什么区别?
随着互联网的日益流行,各种病毒木马也猖厥起来,几乎每天都有新的病毒产生,大肆传播破坏,给广大互联网用户造成了极大的危害,几乎到了令人谈毒色变的地步。 各种病毒,蠕虫,木马纷至沓来,令人防不胜防,苦恼无比。 那么,究竟什么是病毒,蠕虫,木马,它们之间又有什么区别?相信大多数人对这个问题并没有一个清晰的了解,在这里,我们就来简单讲讲。 病毒、蠕虫和特洛伊木马是可导致您的计算机和计算机上的信息损坏的恶意程序。 它们可能使你的网络和操作系统变慢,危害严重时甚至会完全破坏您的系统,并且,它们还可能使用您的计算机将它们自己传播给您的朋友、家人、同事以及 Web 的其他地方,在更大范围内造成危害。 这三种东西都是人为编制出的恶意代码,都会对用户照成危害,人们往往将它们统称作病毒,但其实这种称法并不准确,它们之间虽然有着共性,但也有着很大的差别。 什么是病毒? 计算机病毒(Computer Virus),根据《中华人民共和国计算机信息系统安全保护条例》,病毒的明确定义是“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据,影响计算机使用并且能够自我复制的一组计算机指令或者程序代码”。 病毒必须满足两个条件: 1、它必须能自行执行。 它通常将自己的代码置于另一个程序的执行路径中。 2、它必须能自我复制。 例如,它可能用受病毒感染的文件副本替换其他可执行文件。 病毒既可以感染桌面计算机也可以感染网络服务器。 此外,病毒往往还具有很强的感染性,一定的潜伏性,特定的触发性和很大的破坏性等,由于计算机所具有的这些特点与生物学上的病毒有相似之处,因些人们才将这种恶意程序代码称之为“计算机病毒”。 一些病毒被设计为通过损坏程序、删除文件或重新格式化硬盘来损坏计算机。 有些病毒不损坏计算机,而只是复制自身,并通过显示文本、视频和音频消息表明它们的存在。 即使是这些良性病毒也会给计算机用户带来问题。 通常它们会占据合法程序使用的计算机内存。 结果,会引起操作异常,甚至导致系统崩溃。 另外,许多病毒包含大量错误,这些错误可能导致系统崩溃和数据丢失。 令人欣慰的是,在没有人员操作的情况下,一般的病毒不会自我传播,必须通过某个人共享文件或者发送电子邮件等方式才能将它一起移动。 典型的病毒有黑色星期五病毒等。 什么是蠕虫? 蠕虫(worm)也可以算是病毒中的一种,但是它与普通病毒之间有着很大的区别。 一般认为:蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如传播性、隐蔽性、破坏性等等,同时具有自己的一些特征,如不利用文件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客技术相结合,等等。 普通病毒需要传播受感染的驻留文件来进行复制,而蠕虫不使用驻留文件即可在系统之间进行自我复制, 普通病毒的传染能力主要是针对计算机内的文件系统而言,而蠕虫病毒的传染目标是互联网内的所有计算机。 它能控制计算机上可以传输文件或信息的功能,一旦您的系统感染蠕虫,蠕虫即可自行传播,将自己从一台计算机复制到另一台计算机,更危险的是,它还可大量复制。 因而在产生的破坏性上,蠕虫病毒也不是普通病毒所能比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造成网络瘫痪!局域网条件下的共享文件夹、电子邮件Email、网络中的恶意网页、大量存在着漏洞的服务器等,都成为蠕虫传播的良好途径,蠕虫病毒可以在几个小时内蔓延全球,而且蠕虫的主动攻击性和突然爆发性将使得人们手足无措。 此外,蠕虫会消耗内存或网络带宽,从而可能导致计算机崩溃。 而且它的传播不必通过“宿主”程序或文件,因此可潜入您的系统并允许其他人远程控制您的计算机,这也使它的危害远较普通病毒为大。 典型的蠕虫病毒有尼姆达、震荡波等。 什么是木马? 木马(Trojan Horse),是从希腊神话里面的“特洛伊木马”得名的,希腊人在一只假装人祭礼的巨大木马中藏匿了许多希腊士兵并引诱特洛伊人将它运进城内,等到夜里马腹内士兵与城外士兵里应外合,一举攻破了特洛伊城。 而现在所谓的特洛伊木马正是指那些表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。 它是具有欺骗性的文件(宣称是良性的,但事实上是恶意的),是一种基于远程控制的黑客工具,具有隐蔽性和非授权性的特点。 所谓隐蔽性是指木马的设计者为了防止木马被发现,会采用多种手段隐藏木马,这样服务端即使发现感染了木马,也难以确定其具体位置;所谓非授权性是指一旦控制端与服务端连接后,控制端将窃取到服务端的很多操作权限,如修改文件,修改注册表,控制鼠标,键盘,窃取信息等等。 一旦中了木马,你的系统可能就会门户大开,毫无秘密可言。 特洛伊木马与病毒的重大区别是特洛伊木马不具传染性,它并不能像病毒那样复制自身,也并不刻意地去感染其他文件,它主要通过将自身伪装起来,吸引用户下载执行。 特洛伊木马中包含能够在触发时导致数据丢失甚至被窃的恶意代码,要使特洛伊木马传播,必须在计算机上有效地启用这些程序,例如打开电子邮件附件或者将木马捆绑在软件中放到网络吸引人下载执行等。 现在的木马一般主要以窃取用户相关信息为主要目的,相对病毒而言,我们可以简单地说,病毒破坏你的信息,而木马窃取你的信息。 典型的特洛伊木马有灰鸽子、网银大盗等。 从上面这些内容中我们可以知道,实际上,普通病毒和部分种类的蠕虫还有所有的木马是无法自我传播的。 感染病毒和木马的常见方式,一是运行了被感染有病毒木马的程序,一是浏览网页、邮件时被利用浏览器漏洞,病毒木马自动下载运行了,这基本上是目前最常见的两种感染方式了。 因而要预防病毒木马,我们首先要提高警惕,不要轻易打开来历不明的可疑的文件、网站、邮件等,并且要及时为系统打上补丁,最后安装上防火墙还有一个可靠的杀毒软件并及时升级病毒库。 如果做好了以上几点,基本上可以杜绝绝大多数的病毒木马。 最后,值得注意的是,不能过多依赖杀毒软件,因为病毒总是出现在杀毒软件升级之前的,靠杀毒软件来防范病毒,本身就处于被动的地位,我们要想有一个安全的网络安全环境,根本上还是要首先提高自己的网络安全意识,对病毒做到预防为主,查杀为辅。
VISTA 刚做好系统一般多少进程
Vista系统进程的详细信息(1)360安全卫士应用程序实时保护模块.(2)音频图像隔离。 (3)杀毒软件相关程序。 BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。 (4)是SoftWin公司出品的BitDefender反病毒产品的一部分。 (5)是BitDefender反病毒软件的一部分。 (6)(2个)是微软客户端/服务端运行时子系统。 该进程管理windows图形相关任务。 这个程序对你系统的正常运行是非常重要的。 注意也有可能是@mm、木马、.a等病毒创建的。 该病毒通过email邮件进行传播,当你打开附件时,即被感染。 该蠕虫会在受害者机器上建立smtp服务,用以自身传播。 该病毒允许攻击者访问你的计算机,窃取木马和个人数据。 请注意此进程所在的文件夹,正常的进程应该是在windows的system32下面.(7)这是aero界面的一个进程。 (8)是windows程序管理器或者windows资源管理器,它用于管理windows图形壳,包括开始菜单、任务栏、桌面和文件管理。 删除该程序会导致windows图形界面无法适用。 注意也有可能是和.b@mm病毒。 该病毒通过email邮件传播,当你打开附件时,就会被感染。 该蠕虫会在受害者机器上建立smtp服务,用于更大范围的传播。 该蠕虫允许攻击者访问你的计算机,窃取密码和个人数据。 请注意此进程所在的文件夹,正常的进程应该是在windows下面。 (9)是 Google 工具栏的伴随产品。 要启用工具栏的搜索设置通知程序功能,需要此可执行程序。 (10)7进程。 (11)是microsoft internet explorer的主程序。 这个微软windows应用程序让你在网上冲浪,和访问本地interanet网络。 这不是纯粹的系统程序,但是如果终止它,可能会导致不可知的问题。 同时也是avant网络浏览器的一部分,这是一个免费的基于internet explorer的浏览器。 注意也有可能是木马.b病毒,该病毒会终止你的反病毒软件,和一些windows系统工具。 正常的进程应该是在\programfiles\internetexplorer和system32\dllcache下面.(12)杀毒软件在线升级程序。 BitDefenderProfessional是罗马尼亚的一款杀毒软件,它将为您的计算机提供最大的保护,它具有功能强大的反病毒引擎以及互联网过滤技术。 (13)是一个关于微软安全机制的系统进程,主要处理一些特殊的安全机制和登录策略。 (14)一个用来管理计算机的终端服务器连接的新进程(即“本地会话管理器”)。 (15)是windows自带的记事本程序。 是windows默认用来打开和编辑文本文件的程序。 (16)是Real Networks产品定时升级检测程序.(17)为文件、电子邮件以及其他内容(通过可扩展性 API)提供内容索引和属性缓存。 该服务响应文件和电子邮件通知,从而对已修改的内容编制索引。 如果该服务已停止或被禁用,资源管理器将无法显示项目的虚拟文件夹视图,在资源管理器中搜索将回退为速度较慢的逐项搜索。 (18)是微软windows操作系统的一部分。 用于管理启动和停止服务。 该进程也会处理在计算机启动和关机时运行的服务。 这个程序对你系统的正常运行是非常重要的。
什么是病毒密码?
一种新的通过送密码来诱使用户的病毒,虽然此病毒危害不大,但它无须用户点击附件即可感染,因此传播速度非常快,用户在收取邮件时一定要提高警惕。、Frethem病毒将使用多余的信息堵塞被害用户的电子邮件系统,并无其它恶意,而且只有Windows操作系统的用户才会感染病毒
发表评论