亚信信息系统安全周报_CN_180507.doc

???病毒情报中心?系统漏洞信息一周病毒情况报告亚信安全热门病毒综述- PE_XIAOBAMINER.SM?KB4093109系统安全技巧?亚信安全产品APT 32组织装备新型“网络攻击武器”，亚信安全强力解读病毒码发布情况?一周病毒情况报告?本周用户报告感染数量较多的病毒列表Ripper*家族?亚信安全热门病毒综述?亚信安全热门病毒综述- PE_XIAOBAMINER.SM 该病毒通过可移动硬盘传播，其会感染可执行文件，在文件中插入恶意代码。其还会改写系统hosts文件，阻止用户访问安全相关网站。对该病毒的防护可以从下述连接中获取最新版本的病毒码：14.233.60? HYPERLINK /Anti-Virus/China-Pattern/Pattern/ \t _blank /Anti-Virus/China-Pattern/Pattern/病毒详细信息请查询：?/vinfo/us/threat-encyclopedia/malware/pe_xiaobaminer.sm?系统漏洞信息?Windows安全更新 (4093109)Windows 10 Version 1511 for 32-bit Systems Windows 10 Version 1511 for x64-based Systems描述：/zh-cn/security-guidance?亚信安全产品?病毒码发布情况亚信安全在最近一周发布中国区病毒码情况如下：?2018年04月30日发布病毒码14.221.602018年05月01日发布病毒码14.221.602018年05月02日发布病毒码14.223.602018年05月03日发布病毒码14.225.602018年05月04日发布病毒码14.227.60截至目前，病毒码的最高版本为14.233.60发布于2018年05月07日。病毒码下载地址为：?HYPERLINK /Anti-Virus/China-Pattern/Pattern/ \t _blank/Anti-Virus/China-Pattern/Pattern/您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新：?HYPERLINK /Anti-Virus/China-Pattern/TSUT/ \t _blank/Anti-Virus/China-Pattern/TSUT/趋势科技在最近一周发布全球病毒码情况如下：?2018年04月30日发布病毒码14.221.002018年05月01日发布病毒码14.223.002018年05月02日发布病毒码14.225.002018年05月03日发布病毒码14.227.002018年05月04日发布病毒码14.229.00截至目前，病毒码的最高版本为4.235.00，发布于2018年05月07日。病毒码下载地址为：?HYPERLINK /Anti-Virus/Main-Pattern/ \t _blank/Anti-Virus/Main-Pattern/您也可以从以下链接下载TSUT工具进行趋势科技Windows平台产品的更新：HYPERLINK /Anti-Virus/TSUT/ \t _blank/Anti-Virus/TSUT/系统安全技巧?事件描述海莲花APT组织（又名APT 32，APT-C-00，SeaLotus和Cobalt Kitty）是一个高度组织化的、专业化的境外黑客组织，该APT组织主要针对人权组织，媒体，研究机构和海事建筑公司等进行高级持续性攻击。亚信安全多年来一直持续追踪海莲花组织，近日，我们发现该组织使用最新的MacOS后门程序，对装有Perl程序的Mac系统进行攻击，亚信安全截获了该后门程序，并将其命名为OSX_OCEANLOTUS.D。OSX_OCEANLOTUS.D技术分析MacOS后门程序通过带有恶意word文档的电子邮件传播，Word文档原始文件名为“2018-PHI?U GHI DANH THAM D? T?NH H?I HMDC 2018.doc”， 翻译成中文就是“2018年HMDC大会登记表”， 而HMDC是一个在越南宣传民族独立和民主的组织。【恶意文档运行时的截图】当收件人打开该文档时，该后门程序会建议收件人启用宏。而这个恶意宏则采用了十进制ASCII代码逐个字符地进行混淆，以逃避各种杀毒软件的检测。【文档混淆后的代码片段】去除混淆后，我们可以看到有效负载是用Perl编程语言编写的。它会从Word文档中提取theme0.xml文件。theme0.xml是一个带有0xFEEDFACE签名的Mach-O 32位可执行文件，其也是该后门程序最终有效载荷。theme0.xml在执行之前会先解压到/ tmp /