Fbot,一个Satori相关的、基于区块链DNS的蠕虫

从2018-09-13 11:30 UTC开始,我们首次注意到一个新的蠕虫正在清理 com.ufo.miner。在完成了清理动作后,该蠕虫会等待来自C2(musl.lib,66.42.57.45:7000, Singapore/SG)的下一步指令。我们将该蠕虫命名为fbot,主要是因为该蠕虫的主要执行模块使用了这个名字。该C2域名的解析,需要通过EmerDNS,一个emercoin.com旗下的区块链DNS完成。 com.ufo.miner 与我们之前多次 报告 的 ADB.

ADB.Miner 安卓蠕虫的更多信息

本篇技术分析,由360手机卫士,360威胁情报中心,360烽火实验室,360-CERT,360网络安全研究院联合发布。 综述 大约48小时之前,我们发布 文章 报告了ADB.Miner,一种新型的安卓蠕虫。该蠕虫可以借助安卓设备上已经打开的 adb 调试接口传播,且初期传播的增速很快,约每12小时翻一番。 在过去的48小时内,我们对 ADB.Miner 做更进一步的分析,目前的结论如下,供安全社区参考: 当前感染量已经稳定:日活感染量在增长到7千(2018-02-05 15:00 GMT+8)后不再快速增长。

ADB.Miner:恶意代码正在利用开放了ADB 接口的安卓设备挖矿

作者:Hui Wang, RootKiter, twitter/360Netlab 大约24小时前,从 2018-02-03 15:00 开始,一组恶意代码开始蠕虫式快速传播,我们分析了这个安全威胁,一些快速的结果如下: 传播时间:最早的感染时间可以回溯到 1月31日附近。当前这波蠕虫式感染从 2018-02-03 下午 15:00 附近开始被我们的系统检测到,目前仍在持续增长。 感染端口:5555,是安卓设备上 adb 调试接口的工作端口,这个端口正常应该被关闭,但未知原因导致部分设备错误的打开了该端口 蠕虫式感染: