[1]    Mac不再安全了？又一款木马程序通过Office文件传播

　　Flashback木马程序最近刚刚结束，又迎来卡巴斯基杀毒软件公司的Costin Radiu报道，一款名为Backdoor.OSX.SabPub.a木马程序再次袭来。

　　Backdoor.OSX.SabPub.a在感染系统之后会自动连接一台位于加州的服务器，这款木马使用了名为Exploit.Java.CVE-2012-0507.bf的Java漏洞，这款木马会将被感染机器的截图发送至远程服务器，并且可以执行中断命令。卡巴斯基称公司会继续研究这款木马软件，并且建议所有Mac用户不要打开来源不明的Office文件，最好能安装杀毒软件等保护措施。

　　[2]    “3Q大战”今日开庭 双方员工相互拍肩示好

　　作为“3Q大战”的一场巅峰对决，奇虎360指控腾讯滥用市场支配的反垄断诉讼于今天上午在广东省高院开庭审理，360指责腾讯垄断，阻碍行业创新发展，而腾讯却反驳360的指证自相矛盾。

　　[3]    美国多家政府网站遭黑客组织“匿名者”袭击

　　国际在线专稿：据俄罗斯RT电视台4月16日报道，多家美英政府网站日前遭到黑客组织“匿名者”攻击，包括美国司法部、中央情报局(CIA)以及英国军情六处网站。

　　CIA网站此前已经两次遭“匿名者”组织袭击，分别是2012年2月和2011年6月。“匿名者”组织宣称，美国国土安全部、美国联邦调查局(FBI)以及其他政府机构网站也曾遭到他们攻击。

　　[4]    Anonymous窃取伊斯兰复兴党电子邮件

　　著名黑客组织“匿名者”日前爆料，他们窃取了突尼斯执政党伊斯兰复兴党2725封电子邮件，其中包括总理哈马迪的邮件。

　　据悉，被公开的邮件内容包括复兴党成员的电话号码、银行交易记录以及去年大选过程中官员的支票记录等。“匿名者”在社交网络“脸谱网”上发布视频透露，他们公开这批邮件是为了抗议伊斯兰复兴党未能在近来国内爆发的抗议示威中保护好失业者和艺术家，使得他们遭到了激进的萨拉菲派穆斯林的攻击。

　　[5]    手势锁屏也不安全 新木马可传感识别

　　一个安全研究团队最近发现一款基于Android的木马，可以通过传感器判断用户锁屏移动的位置和按压情况来记录密码。该木马绰号“TapLogger”，可以破译包含数字0到9的4位，6位，8位密码。当用户需要解锁的时候，传感器就会记录每次用户在按压屏幕时候的轻微移动，同时研究者还发现TapLogger还可以识别这些移动会产生多少数位的密码并进行匹配，并可以通过后台发给攻击者。

　　该木马是由宾夕法尼亚大学的Zhi Xu和Sencun Zhu和IBMWatson研究中心的Jun Bai联合开发的，该木马可在后台记录该系统的密码并发送给攻击者。

　　研究者称“最根本的问题是在目前智能手机的传感器上并没有行之有效的解决方案。”并说对Android设备的不同屏幕都是会有效果的。

　　[6]    发现OSX.SabPub新变种和证实的Mac APT

　　上周末我们发现Mac OS X的后门木马和被称为LuckyCat的APT攻击之间存在一种联系。与这个bot相连的C&C的IP地址（199.192.152.*），曾在2011年被其他的Windows恶意软件使用，这个事实说明我们一直关注的威胁事件有着共同的目标。

　　我们一直关注OSX.SabPub。 4月13日，位于rt*****.onedumb.com和寄宿在VPS的C&C 服务器的端口80在美国菲蒙市被关闭。这个端口在周六被打开，bot就开始与C&C 服务器互相通信，但是一整天的通信除了基本的信息交换，其他的什么都没有。4月15早上，C&C 服务器产生的通信量发生变化。攻击者获得链接并开始分析我们伪造的受害者机器，他们列出了我们放置在机器上的根文件夹和个人文件夹里的信息，甚至窃取了某些文件的内容。我们十分确定攻击者是通过人工方式来检查被感染的机器和提取数据的。

　　经分析发现SabPub的另一变种，其硬编码为“e3SCNUA2Om97ZXJ1fGI+Y4Bt”不同于最初版本的硬编码“OjlDLjw5Pi4+NUAuQDBA”，大小为42556字节，而原始版本的大小为42580字节。在我们的病毒库里，SabPub的这一变种被命名为“8958.doc”。这里需要指出，SabPub并不是MaControl，但使用和MaControl同样的方法进行攻击，且更具攻击性。

　　SabPub的这一变种在3月被发现，攻击者通过Java漏洞感染Mac OS X目标机器。我们预测攻击者会在接下来的日子里继续发布该病毒的新变种。

　　总结：

　　1. 目前，至少存在2种SabPub病毒版本；

　　2. 该病毒的最早版本是在2012年2月创建并被使用的；

　　3. SabPub不同于MaControl，它在出现将近2个月后才被检测到，所以更具攻击性；

　　4. 倾向于SabPub的ATP一直都很活跃。

　　[7]    针对Twitter的垃圾邮件攻击致使出现伪造的杀毒软件

　　今日早间，Kaspersky Lab发现了一种针对Twitter的垃圾邮件攻击。许多脆弱的账户被利域名为.TK 和 .tw1.su的链接发送垃圾信息，致使出现流氓杀毒软件。被利用的账户每秒发送8条垃圾信息，信息中附有诱导用户访问恶意名为BlackHole的漏洞利用组件的链接。用户点击这些链接后，电脑界面会弹出“系统进行恶意活动需要进行快速扫描”的警告。扫描结束后，用户被建议安装伪造的恶意杀毒软件。在检测过程中，具有不同域名的变种被植入受感染的机器中。

　　Kaspersky Lab已检测到我们收集到的恶意样本，我们的用户在第一时间受到保护。该威胁被检测为Trojan-FakeAV.Win32.Agent.dqs和Trojan-FakeAV.Win32.Romeo.dv。

　　[8]    “The Movie”恶意软件窃取日本Android用户信息

　　过去的一周里，网上出现关于可疑Android应用软件的持续讨论，这些软件大部分是模仿日本比较受欢迎的游戏软件或者视频播放软件。赛门铁克已经鉴定具有此类软件特征的29款应用程序为恶意程序。我们确定的第一个恶意应用程序是2月10日左右，出现在Google Play上的一款软件。接着在三月末，大批名称以“the Movie”结尾的软件发布，此类软件吸引大量用户下载安装。

　　至少有7万用户安装此类软件，但是潜在用户可能达到30万，目前受感染的设备数量可能与安装用户的数量接近。此类软件不仅可以窃取受害人信息，还可以窃取受害人设备通讯联系人的个人信息。一旦这些程序被安装并运行，他们就会连接到一个外部服务器，攻击者会利用这个服务器下载MP4文件并播放。此时，受害人的电话号码连同通讯录里联系人的姓名、电话及邮件地址都会被发送到这个服务器。目前，还不清楚这类攻击的目的，但可以断定攻击者已为他们接下来的活动准备了大批邮箱地址和电话号码。

　　Android用户可以通过Norton Mobile Security进行手机杀毒，赛门铁克将此类恶意软件检测为Android.Dougalek。Tokyo Metropolitan Police Department已经开始调查此事，试图追踪Android.Dougalek的开发者，我们会一直关注，随时更新博客。

　　[9]    感染数降至14万左右  Flashback清除仍需时间

　　由于赛门铁克和其他运营商相继发布了Flashback清除工具，所以我们预计其感染数量会大幅度下降。但实际情况并非如此，感染数量降到接近14万时就基本保持恒定不变了。如果你担心自己的Mac感染了OSX.Flashback.K，建议你使用免费的诺顿Flashback检测清除工具（Norton Flashback Detection and Removal Tool）进行查杀。

　　C&C服务器

　　进一步的域名生成器算法表明Flashback的顶级域名并不局限于“.com”，还有其他四种可供选择，如“.in”“.info”“.kz”和“.net”等。

　　漏洞

　　CVE-2012-0507, BID 52161（Oracle Java SE Remote Java Runtime Environment Denial Of Service Vulnerability）被用于散布Flashback木马，同时也被用于散布OSX.Sabpab。OSX.Sabpab还可以通过Word漏洞（CVE-2009-0565, BID 35190）进行传播。

　　更新载荷C&C服务器

　　Flashback的有效载荷比原始下载的组件要大得多。分析得出：该木马的一个新特性是可以通过查找由OSX.Flashback.K hashtag 算法产生的特殊hashtag来检索更新服务器的位置。

　　清除工具

　　为了更好地保护您的计算机不受攻击，请登录网站www.symantec.com，下载使用 OSX.Flashback.K检测清除工具（Norton Flashback Detection and Removal Tool），该工具完全免费。