全国服务热线 :0755-26406096

产品推荐
  • TRITON APX Enterprise Core
  • 深信服(sangfor)上网行为管理AC
  • 深信服(sangfor)下一代防火墙NGAF
  • 深信服(sangfor)SSL VPN
  • 深信服(sangfor)广域网优化WOC
  • 深信服(sangfor)应用交付AD
  • Polycom(宝利通)ReaIPresence Group550高清视频会议终端
  • polycom(宝利通) HDX7000 宝利通高清视频终端
联系我们
深圳市望升信息技术有限公司
售前电话:0755-26406096
售后电话:0755-86549081
地址:深圳市南山区科技园中钢大厦M-6栋4楼
Email:hel@wangshenginfo.com
邮编:518057
电话:0755-26406096
传真:0755-26649834
您现在的位置: 首页   新闻资讯   行业资讯 行业资讯

Forcepoint安全预警:全新“f0xy”恶意软件来袭!!!

文章来源:多媒体会议室 发布日期:2016年06月13日    浏览次数:474

         近日消息,Websense(现在改名:Forcepoint)安全实验室成功发现了第一例f0xy恶意软件,随后f0xy感染能力不断变化提高,从最初只能感染Windows Vista和Microsoft OS系统用户,到后来经过变种可以感染Windows XP系统用户。该恶意软件刚被开发出来的时候,简单的反病毒检测就可以将其检测出来,但随着恶意程序的进化,杀毒软件已经很难对付它了。

        f0xy恶意软件采用了最新规避技术,能够动态地改变命令与控制(C&C)服务器,还利用俄罗斯时下最流行的社交网站VKontakte以及微软后台智能传输服务来下载并执行任意文件。例如,f0xy可以在社交网站VKontakte中读取某人头像下的评论(加密字符串),这条评论就隐藏着C&C服务器URL。

        一旦f0xy植入到受害者电脑中,它就会利用微软后台智能传输服务(BITS)下载攻击负载。f0xy的这一选择非常聪明,BITS是一个Windows组件,可以在前台或后台异步传输文件,而且在传输过程中使用的是闲置网络带宽,一般的反病毒软件无法检测到。

        此外,Websense安全实验室还发现了f0xy恶意软件的三个特点。首先,该恶意软件很少采用代码和字符串混淆方法,因此才显得更合法,也更隐秘。其次,请求是从俄罗斯社交网站VKontakte发出的,掩盖了真实的C&C地址。最后,该恶意软件利用微软后台智能传输服务进行网络流量外包,规避了安全产品的检测。


部署了Websense高级分类引擎(ACE)的客户可以攻击的不同阶段进行防御:

·  第五阶段(木马文件)—ACE可以检测到攻击活动中的恶意文件,包括f0xy的恶意行为

·  第六阶段(自动通报)—ACE可以检测到与f0xy相关的命令与控制服务器之间的信息传送

        到目前为止,还没有任何数据显示Websense客户遭遇了f0xy恶意软件入侵。Websense安全实验室还将继续关注这一攻击活动,为更多用户提供可用信息和防御措施。


关于Websense公司:
        Websense® Inc.是全球领先的统一Web、数据和电子邮件内容安全解决方案提供商,为全世界数万企业、中小市场和组织提供最低TCO(总体拥有成本)的最佳现代安全防护。利用全球渠道合作伙伴,通过软件、硬件设备、安全即服务(SaaS)等交付模式,Websense先进的TRITON内容安全解决方案帮助全球组织尽享最新的通信协作和Web 2.0商业工具,同时保护他们远离各种先进的持续威胁、防护其关键信息的泄露并执行各种互联网安全使用策略。

【推荐阅读】

望升官方微信

关注微信,了解“更多精彩”

电话:400-807-5518

地址:深圳市南山区高新园中区中钢大厦M-6栋4楼